Segurança : Cisco Adaptive Security Device Manager

Problemas de conexão ASA ao Cisco Adaptive Security Device Manager

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento fornece a metodologia de Troubleshooting necessária examinar as edições enfrentadas quando você alcança/configura a ferramenta de segurança adaptável de Cisco (ASA) com Cisco Adaptive Security Device Manager (ASDM). O ASDM entrega o Gerenciamento de segurança e os serviços de monitoramento para ferramentas de segurança através de uma interface de gerenciamento gráfica.

Contribuído por Ishwinder Cheema e gaio Johnston, engenheiros de TAC da Cisco.

Pré-requisitos

Requisitos

As encenações, os sintomas, e as etapas alistadas neste documento estão escritos para pesquisar defeitos edições depois que a configuração inicial se estabelece no ASA. Para a configuração inicial, refira o acesso configurando ASDM para a seção dos dispositivos do guia de configuração ASDM das operações gerais da série de Cisco ASA, 7.1.

Este documento usa o ASA CLI pesquisando defeitos, que exige o acesso do Shell Seguro (ssh) /Telnet/Console ao ASA.

Componentes Utilizados

A informação neste documento é baseada no ASDM e no ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Metodologia de Troubleshooting

Há três pontos da falha principal sobre que este documento de Troubleshooting se centra. Se você adere ao processo do Troubleshooting geral nesta ordem, este documento deve ajudá-lo a determinar o problema exato com uso/acesso ASDM.

  • Configuração ASA
  • Conectividade de rede
  • Software de aplicativo

Configuração ASA

Há três configurações essenciais que estam presente no ASA que é precisado a fim alcançar com sucesso o ASDM:

  • Imagem ASDM no flash
  • Imagem ASDM no uso
  • Limitações do Server do HTTP

Imagem ASDM no flash

Certifique-se de que a versão necessária do ASDM está transferida arquivos pela rede ao flash. Pode qualquer um ser transferida arquivos pela rede com atualmente a versão da corrida do ASDM ou com outros métodos convencionais de transferência de arquivo ao ASA, tal como o TFTP.

Incorpore o flash da mostra no ASA CLI a fim ajudá-lo a alistar os arquivos atuais na memória Flash ASA. Verifique para ver se há a presença do arquivo ASDM:

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

A fim verificar mais se a imagem atual no flash é válida e para não corromper, você pode usar o comando verify a fim comparar a mistura MD5 armazenada no pacote de softwares e a mistura MD5 do presente real do arquivo:

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

Esta etapa deve ajudá-lo a verificar se a imagem esta presente e sua integridade no ASA.

Imagem ASDM no uso

Este processo é definido sob a configuração ASDM no ASA. Uma definição da configuração de exemplo da imagem atual que é olhares usados como esta:

imagem disk0:/asdm-702.bin do asdm

A fim verificar mais, você pode igualmente usar o comando da imagem do asdm da mostra:

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

Limitações do Server do HTTP

Esta etapa é essencial na configuração ASDM, porque define que as redes têm o acesso ao ASA. Uma configuração de exemplo olha como esta:

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

Verifique que você tem as redes necessárias definidas na configuração precedente. A ausência daquelas definições faz com que a launcher ASDM cronometre para fora quando conectar e der este erro:

A página do lançamento ASDM (endereço IP de Um ou Mais Servidores Cisco ICM NT >/admin de https:// <ASA) não causa o pedido cronometrar para fora e nenhuma página é indicada.

Verifique mais que o Server do HTTP usa uma porta não padronizada para a conexão ASDM, tal como 8443. Isto é destacado na configuração:

HTTP da corrida da mostra do ciscoasa(config)#

o server HTTP permite 8443

Se usa uma porta não padronizada, você precisa de especificar a porta quando você conecta ao ASA na launcher ASDM como:

Isto igualmente aplica-se para quando você alcança a página do lançamento ASDM: https://10.106.36.132:8443/admin

Outras edições da possível configuração

Depois que você termina as etapas precedentes, o ASDM deve abrir se tudo é funcional no lado do cliente. Contudo, se você ainda experimenta edições, abra o ASDM de uma outra máquina. Se você sucede, o IS-IS da edição provavelmente a nível do aplicativo, e a configuração ASA são muito bem. Contudo, se ainda não se lança, termine estas etapas para verificar mais as configurações do ASA-lado:

  1. Verifique a configuração do secure sockets layer (SSL) no ASA. O ASDM usa o SSL quando se comunicar com o ASA. Baseado na maneira que o ASDM é lançado, um OS Software mais novo não pôde permitir o uso de umas cifras mais fracas quando negocia sessões de SSL.

    Verifique que cifras são permitidas no ASA, e se alguma versão de SSL específica é especificada na configuração com a mostra execute todo o comando SSL:
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    Se há algum erro de negociação da cifra SSL quando o ASDM se lançar, indicam nos logs ASA:
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    Se você vê ajustes específicos, reverta-os ao padrão.

    Observe que a licença VPN-3DES-AES precisa de ser permitida no ASA para que as cifras 3DES e AES estejam usadas pelo ASA na configuração. Isto pode ser verificado com o comando show version no CLI. Os indicadores da saída como esta:
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover            : Active/Active
    VPN-DES             : Enabled  
    VPN-3DES-AES        : Enabled
    <snip>
    Uma licença VPN-3DES-AES pode ser obtida sem nenhum custo de Cisco que licencia o Web site. Clique produtos de segurança, e escolha então a licença de Cisco ASA 3DES/AES.

    Nota: Nas Plataformas novas ASA 5500-X que enviam com código 8.6/9.x, os ajustes da cifra SSL são ajustados ao des-sha1 à revelia, que faz com que as sessões ASDM não trabalhem. Refira o ASA 5500-x: O ASDM e a outra função SSL não dão certo do artigo da caixa para mais informação.

  2. Verifique que o WebVPN está permitido no ASA. Se é permitido, você precisa de usar esta URL (https://10.106.36.132/admin) a fim a alcançar quando você alcança a página do lançamento da Web ASDM.

  3. Verifique para ver se há uma configuração do Network Address Translation (NAT) no ASA para a porta 443. Isto faz com que o ASA não processe os pedidos para o ASDM mas envie-os um pouco à rede/relação para que o NAT foi configurado.

  4. Se tudo é verificado e o ASDM ainda cronometra para fora, verifique que o ASA se estabelece para escutar na porta definida o ASDM com o comando socket da tabela asp da mostra no ASA CLI. A saída deve mostrar que o ASA escuta na porta ASDM:
    Protocol  Socket    Local Address               Foreign Address         State
    SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
    Se esta saída não indica, remova e reaplique a configuração de Server do HTTP no ASA a fim restaurar o soquete no software ASA.

  5. Se você experimenta edições quando você entra/autentica ao ASDM, verificam que as opções de autenticação para o HTTP se estabelecem corretamente. Se nenhum comando authentication é ajustado, você pode usar o ASA permite a senha de entrar ao ASDM. Se você quer permitir o username/autenticação passoword-baseada, você precisa de incorporar esta configuração a fim autenticar sessões ASDM/HTTP ao ASA do username/base de dados de senha do ASA:
    aaa authentication http console LOCAL
    Recorde criar um username/senha quando você permite o comando precedente:
    username <username> password <password> priv <Priv level>
    Se nenhuma destas etapas ajuda, estas debugam opções estão disponíveis no ASA para investigações adicionais:
    debug http 255
    debug asdm history 255

Conectividade de rede

Se você terminou a seção anterior e é ainda incapaz de alcançar o ASDM, a próxima etapa é verificar a conectividade de rede a seu ASA da máquina de que você quer alcançar o ASDM. Há algumas etapas de Troubleshooting básicas a fim verificar que o ASA recebe o pedido da máquina cliente:

  1. Teste com Internet Control Message Protocol (ICMP).
    Sibile a relação ASA de que você quer alcançar o ASDM. O sibilo deve ser bem sucedido se o ICMP está permitido atravessar sua rede e não há nenhuma limitação no nível de interface ASA. Se o sibilo falha, é provavelmente porque há um problema de comunicação entre o ASA e a máquina cliente. Contudo, esta não é uma etapa conclusiva para determinar que há esse tipo de problema de comunicação.

  2. Confirme com captura de pacote de informação.
    Coloque uma captura de pacote de informação na relação de que você quer alcançar o ASDM. A captação deve mostrar que os pacotes de TCP destinados ao endereço IP de Um ou Mais Servidores Cisco ICM NT da relação chegam com número de porta de destino 443 (padrão).

    A fim configurar uma captação, use este comando:
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    Isto captura todo o tráfego TCP que vier para a porta 443 na relação ASA de que você conecta ao ASDM. Conecte através do ASDM neste momento ou abra a página do lançamento da Web ASDM. Use então o comando o mais asdm_test da captação da mostra a fim ver o resultado dos pacotes capturados:
    ciscoasa# show capture asdm_test

    Three packets captured

       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    Esta captação mostra um pedido do sincronizar (SYN) da máquina cliente ao ASA, mas o ASA não envia nenhuma resposta. Se você vê uma captação similar à precedente, significa que o alcance dos pacotes o ASA mas o ASA não responde 2 aqueles pedidos, que isola a edição ao ASA própria. Refira a primeira seção deste documento a fim pesquisar defeitos mais.

    Contudo, se você não vê que a saída similar ao precedente e nenhum pacote estão capturados, significa que há um problema de conectividade entre o ASA e a máquina cliente ASDM. Verifique que não há nenhum dispositivo intermediário que puderam obstruir o tráfego da porta TCP 443 e que lá não é nenhuma configuração do navegador, tal como os ajustes do proxy, que poderiam impedir que o tráfego alcance o ASA.

    Tipicamente, a captura de pacote de informação é uma boa maneira de determinar se o trajeto ao ASA é claro, e se uns diagnósticos mais adicionais não puderam ser precisados de ordenar para fora problemas de conectividade de rede.

Software de aplicativo

Esta seção descreve como pesquisar defeitos o software da launcher ASDM que esteve instalado na máquina cliente quando falha se lançar/carga. A launcher ASDM é o componente que reside na máquina cliente e conecta ao ASA a fim recuperar a imagem ASDM. Uma vez que recuperada, a imagem ASDM geralmente é armazenada no esconderijo e tomada de lá até que todas as mudanças estejam observadas no lado ASA, tal como uma atualização da imagem ASDM.

Termine estas etapas de Troubleshooting básicas a fim ordenar para fora todas as edições na máquina cliente:

  1. Abra a página do lançamento ASDM de uma outra máquina. Se se lança, significa que a edição é com a máquina cliente na pergunta. Se falha, siga o guia de Troubleshooting desde o início para isolar os componentes involvidos em ordem.

  2. Abra o ASDM através do lançamento da Web, e lance o software diretamente de lá. Se sucede, é provável que há umas edições com a instalação da launcher ASDM. Desinstale a launcher ASDM da máquina cliente, e reinstale-a do lançamento próprio da Web ASA.

  3. Cancele o diretório cache do ASDM no diretório home do usuário. Por exemplo, em Windows 7, é encontrado aqui: <username> de C:\Users\ \ .asdm \ esconderijo. O esconderijo é cancelado quando você suprime do diretório cache inteiro. Se o ASDM começa com sucesso, você pode igualmente claro o esconderijo de dentro do menu de arquivo ASDM.

  4. Verifique que a versão apropriada de Java está instalada. Os Release Note de Cisco ASDM alistam as exigências para versões testadas das Javas.

  5. Cancele o esconderijo das Javas. No painel de controle de Java, escolha o general > o arquivo de Internet temporário. Então, a opinião do clique a fim lançar uma Java põe em esconderijo o visor. Suprima de todas as entradas que referem ou são relacionadas ao ASDM.

  6. Se estas etapas falham, recolha a informação sobre debugging da máquina cliente para investigações adicionais. Permita a eliminação de erros para o ASDM com a URL: https:// < endereço IP de Um ou Mais Servidores Cisco ICM NT do ASA>?debug=5 por exemplo https://10.0.0.1?debug=5.

    Com versão 6 das Javas (igualmente chamado versão 1.6), os mensagens de debugging das Javas são permitidos do painel de controle de Java > avançado. Selecione então as caixas de seleção sob a eliminação de erros. Não selecione não ligam o console sob o console de Java. A eliminação de erros das Javas deve ser permitida antes que o ASDM comece.


    As saídas do console de Java são gravadas no .asdm/diretório do log do diretório home de usuário. Os logs ASDM puderam igualmente ser encontrados no mesmo diretório. Por exemplo, em Windows 7, os logs estão sob C:\Users\ <username>/.asdm/log/.

Execute comandos com HTTPS

Este procedimento ajuda a determinar todas as edições da camada 7 para o canal HTTP. Esta informação prova útil quando você é em uma situação onde o aplicativo ASDM próprio não seja acessível, e não haja nenhum acesso CLI disponível para controlar o dispositivo.

A URL que é usada para alcançar a página do lançamento da Web ASDM pode igualmente ser usada para executar todos os comandos do configuração-nível no ASA. Esta URL pode ser usada a fim fazer alterações de configuração a nível básico ao ASA, que inclui um reload do dispositivo remoto. A fim incorporar um comando, use esta sintaxe:

https:// < endereço IP de Um ou Mais Servidores Cisco ICM NT do ASA>/admin/exec/<command>

Se há um espaço no comando e o navegador é incapaz de analisar gramaticalmente caracteres de espaço em uma URL, você pode usar + sinal ou %20 indicar o espaço.

Por exemplo, o ver de https://10.106.36.137/admin/exec/show conduz a umas saídas de versão da mostra ao navegador:

Este método da execução do comando exige que o Server do HTTP está permitido no ASA e tem as limitações necessárias HTTP ativas. Contudo, isto não exige uma imagem ASDM a esta presente no ASA.

Informações Relacionadas



Document ID: 116403