Tips och tricks för hantering av Cisco ASA

Ciscos Adaptive Security Device Manager (ASDM) är det GUI-verktyg som används för att hantera Cisco ASA-säkerhetsenheterna. I den här bloggen kommer jag att avslöja några av mina favorittips, tricks och hemligheter som finns i ASDM. Om du inte har haft med det att göra tidigare är ASDM ett gratis verktyg för hantering av konfiguration, övervakning och felsökning som levereras med ASA. I ett nötskal kan man säga att ASDM hanterar alla funktioner i ASA-enheten, inklusive FW, IPS och VPN. Till skillnad från sin storebror Cisco Security Manager (CSM) är ASDM gjort för att konfigurera en fristående ASA en åt gången. CSM är det verktyg som du använder för att hantera och dela policyer mellan flera ASA:er, routrar och IPS-apparater.

Först installerar du verktyget. Du kan ladda ner ASDM från cisco.com eller från din ASA själv. Du kan sedan köra det i en webbläsare eller ladda ner ASDM launcher så att det körs som ett eget program på din dator. Jag rekommenderar starkt ASDM launcher som det bästa alternativet. ASDM launcher fungerar för både Windows och MAC OSX (kräver ASDM version 6.4.5 eller senare). När den har startats kommer den att se ut som nedanstående bild. Du fyller i informationen och så är du igång.

Några hemligheter om ASDM launcher. För det första, för att få MAC launcher att fungera måste du installera den direkt från din ASA med hjälp av en webbläsare. För närvarande finns det ingen nedladdningsbar .dmg-fil på cisco.com, endast en .msi-fil för Windows.

För det andra, ser du den där coola kryssrutan ”kör i demoläge”? Detta kan vara en mycket praktisk funktion och är tillgänglig för alla. För att aktivera den kryssar du i rutan och klickar på länken som den ger. Detta tar dig till cisco.com där du måste ladda ner ASDM demo .msi-paketet.

När det väl är installerat kan ASDM sedan användas i ett offline-demoläge på en Windows- eller Mac-dator. Demoläget ger dig flera konfigurationstyper att välja mellan så att du kan få den att låtsas vara en ASA FW eller en ASA FW med IPS eller en ASA med SSLVPN osv. ASDM-demoläget modellerar till och med händelseloggar. Sammantaget ger ASDM-demoläget dig erfarenheten av att konfigurera och övervaka en levande ASA.

Det för mig till en annan ASDM-hemlighet, demoläget är utformat för Windows men fungerar även på MAC. Detta är inte något som stöds av Cisco eller finns i deras dokumentation. Det är mer av ett hack, men ett användbart sådant för de (som jag) som inte gillar att köra fusion på sina MACs. Så här får du det att fungera på en MAC som kör Lion:

-Först installerar du ASDM-lanseringen på din MAC genom att ansluta till en ASA via en webbläsare och klicka på Install launcher.

-Först laddar du ner och installerar ASDM demo .msi på en Windows-pc.

-Nästan kopierar du innehållet i mappen Demo från C:\Program Files\Cisco Systems\ASDM till din MAC.

Öppna den mapp som startprogrammet ligger i (vanligtvis program\Cisco) på din MAC och högerklicka på startprogrammet. Klicka nu på show package contents

Ett nytt Finder-fönster öppnas. Navigera till /Applications/ASDM/Cisco ASDM-IDM.app/Contents/Resources/Java/demo

-Finnligen kopierar du innehållet i mappen windows demo till den här mappen. Nu bör Mac launcher demo fungera utmärkt!

När vi nu har ASDM installerat kommer här några snabba tips.

  • Behövs du se om det finns uppgraderingar för din specifika ASA-typ och version? Använd verktyget check for updates i ASDM. Den här guiden för programuppdatering är mycket snabbare och felfri än att gå till discos webbplats och hämta bilderna för att sedan ladda upp dem till ASA och konfigurera den för att använda dem. Allt detta kan nu göras med ungefär 4 klick direkt från ASDM. Enorm tidsbesparing!
  • Behöver du snabbt se in/ut-genomströmning på ASA-gränssnitt? På hemsidan klickar du på ett gränssnitt och nedanför visas in- och utdata i kbps.
  • Behövs du snabbt se dina VPN-sessioner och deras detaljer? På hemsidan kan du visa VPN-sessionerna och klicka på detaljer för att se all information om dina sessioner.
  • Packet Tracer är ett verktyg som måste användas av ASA-administratörer. Om du inte har hört talas om det ännu, se min tidigare blogg. Med Packet Tracer kan du modellera hur ASA kommer att reagera på vissa trafiktyper som rör sig genom den. Den nya funktionen du behöver känna till är att tracer nu kan modellera trafik baserat på användarnamn och FQDN:er.
  • Behövs du skicka ett varningsmeddelande till dina klientlösa sslvpn-användare? Under verktyg hittar du en sådan funktion. Du kan skicka vilket varningsmeddelande som helst till dina användare.
  • Behövs din ASA konfigureras snabbt? Behöver du fånga paket från ASA snabbt? Använd ASDM-assistenterna! De sparar tid och eliminerar vanliga misstag, särskilt vid VPN-konfiguration. I det här fallet är guiderna inte för dummies.

Kan du inte hitta var i ASDM du ska konfigurera något? Hitta det snabbt med hjälp av verktyget leta efter. Du hittar det i verktygsfältet i ASDM. Skriv bara in ett eller två nyckelord för det du letar efter så tar ASDM-assistenten dig dit.

  • För att påskynda skapandet av brandväggsregler använder du drag och släpp av objekt. Du kan snabbt dra och släppa objekt och tjänsteobjekt till din brandväggsregeltabell. Om objekttabellen inte är öppen går du till view/services för att öppna den.
  • Behövs du veta var ett objekt används? Högerklicka på objektet och välj var det används.
  • Behövs det en tillfällig regel som automatiskt upphör att gälla efter en viss tid? Eller kanske en regel som löper ut och endast tillåter trafik under kontorstid för entreprenörer? Använd det tidsbaserade alternativet i dina brandväggsregler under avancerade alternativ på en regel.
  • Behov av att snabbt lägga till NAT till en server eller ett värdobjekt? Använd det nya objektbaserade NAT. Detta kan vara en stor tidsbesparing.
  • Behov av att snabbt hitta botnät och annan skadlig verksamhet? Slå på licensen för botnet-trafikfilter på din ASA så ser du all slags användbar information om skadlig trafik.
  • Tänker du att du kan ha en långsam eller trasig anslutning till din autentiseringsserver? Du kan snabbt kontrollera prestandan mellan server och ASA från din ASDM-övervakning/egenskaper/aaa-servervyn. Ett bra verktyg för att hjälpa till att felsöka långsam autentisering eller annat felaktigt beteende.

Behövs du se vem som för närvarande är inloggad för att hantera ASA? Behöver du sparka bort dem? Du kan göra båda från skärmen Monitoring > Properties > Device Access > ASDM/HTTPS/Telnet/SSH Sessions (Övervakning > Egenskaper > Enhetsåtkomst > ASDM/HTTPS/Telnet/SSH Sessions (ASDM/HTTPS/Telnet/SSH-sessioner). Behöver du analysera ASA-loggarna i realtid? ASDM-loggvisaren under övervakning är ett bra verktyg för just sådana aktiviteter. Den lämpar sig bäst för logganalysering nära eller i realtid. Några av de riktigt coola verktygen är create rule, show rule, whois och dns lookup. Alla dessa kan nås genom att högerklicka på ett loggmeddelande. Återigen kan det vara en stor tidsbesparing.

Det var några av mina favorittips för ASDM. Om du har några egna att dela med dig av är du välkommen att posta dem. Om du har några frågor låt mig veta.

De åsikter och den information som presenteras här är mina PERSONLIGA åsikter och inte min arbetsgivares. Jag är inte på något sätt en officiell talesman för min arbetsgivare.

Mer från Jamey Heary: Credit Card Skimming: Hur tjuvar kan stjäla din kortinformation utan att du vet om det Google Nexus One vs. Top 10 Phone Security RequirementsVarför du alltid ska strimla ditt boardingkort Videouthyrningsregister har mer integritetsskydd än dina uppgifter onlineSanningen om nya SSL-attacker2009 Top Urban Legends in IT Security/a>Gå till Jameys blogg för fler artiklar om säkerhet.

*

*

*

*

*

*

*

*

*

Lämna en kommentar