Segurança : Dispositivos de segurança adaptáveis Cisco ASA 5500 Series

ASA 5500-X: Cancele uma conexão de console a um módulo instalado IPS/CX

19 Setembro 2015 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve um problema comum que os usuários que controlam Cisco as ferramentas de segurança adaptáveis (ASA) possam encontrar. Os dispositivos do 5500-X Series de Cisco ASA proporcionam serviços de firewall da próxima geração com a capacidade opcional para instalar um módulo com base no software do Intrusion Prevention System (IPS) ou um módulo de Cisco ASA CX (contexto ciente). 

Contribuído por Prapanch Ramamoorthy, engenheiro de TAC da Cisco.

Pré-requisitos

Requisitos

A Cisco recomenda que você tenha conhecimento destes tópicos:

  • Comando line interface(cli) de Cisco ASA.
  • Módulos IPS ou CX para dispositivos do 5500-X Series ASA

Componentes Utilizados

A informação neste documento é baseada em dispositivos do Firewall da próxima geração do 5500-X Series de Cisco ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Problema

Quando você tenta estabelecer uma conexão de console ao software IPS ou ao módulo CX instalado, você pôde encontrar um Mensagem de Erro que sugerisse que alguém estivesse registrado já no console. Por exemplo:

ciscoasa# session cxsc console
ERROR: An existing console session is in progress with module cxsc.
Only one is allowed at any point in time.

A saída precedente do comando indica que uma conexão de console ao módulo CX já existe. O comando equivalente para o módulo ips é o console da sessão IP, que mostra esta saída quando usado:

ciscoasa# session ips console
ERROR: An existing console session is in progress with module ips.
Only one is allowed at any point in time.

Solução

A única maneira de cancelar uma conexão de console ao módulo do software IPS/CX em um dispositivo do 5500-X Series ASA é cancelar a conexão CLI ao ASA onde a sessão de console é ativa. Esta seção fornece uma encenação simulada, similar a essa descrita previamente, que os demonsrates o procedimento usaram a fim cancelar tal conexão.

Considere um ASA 5525-X com os serviços de firewall da próxima geração (igualmente conhecidos como o CX) permitido.

ciscoasa# show module cxsc

Mod  Card Type                                    Model              Serial No.
---- -------------------------------------------- ------------------ -----------
cxsc ASA CX5525 Security Appliance                ASA CX5525         FCH1719J569

Mod  MAC Address Range                 Hw Version   Fw Version   Sw Version
---- --------------------------------- ------------ ------------ ---------------
cxsc 6c41.6aa1.31d4 to 6c41.6aa1.31d4  N/A          N/A          9.1.1

Mod  SSM Application Name           Status           SSM Application Version
---- ------------------------------ ---------------- --------------------------
cxsc ASA CX                         Up               9.1.1

Mod  Status             Data Plane Status     Compatibility
---- ------------------ --------------------- -------------
cxsc Up                 Up

Há uma sessão do Shell Seguro (ssh) estabelecida com o ASA além do que uma conexão de console.

ciscoasa# show asp table socket

Protocol  Socket     State     Local Address        Foreign Address
SSL       000069e8   LISTEN    10.106.44.101:443    0.0.0.0:*
TCP       00009628   LISTEN    10.106.44.101:22     0.0.0.0:*
TCP       0000da58   ESTAB     10.106.44.101:22     64.103.226.139:52565

A conexão negrito mostrada na saída é a sessão SSH onde a conexão de console ao módulo CX é ativa. Tentativas de alcançar o console de uma outra falha da conexão CLI (tal como uma conexão de console ao ASA) com o erro mencionado previamente. A saída do comando all do show conn é usada a fim descobrir a conexão de SSH ao ASA, que é cancelado com uso do comando all claro conexão.

ciscoasa# show conn all | in 52565
1 in use, 4 most used
TCP mgmt 64.103.226.139:52565 NP Identity Ifc 10.106.44.101:22,
 idle 0:04:16, bytes 10284, flags UOB

ciscoasa#
ciscoasa#
ciscoasa# clear conn all port 52565
1 connection(s) deleted.

ciscoasa# show conn all | i 52565
0 in use, 4 most used
ciscoasa# show asp table socket

Protocol  Socket    State      Local Address        Foreign Address
SSL       000069e8  LISTEN     10.106.44.101:443    0.0.0.0:*
TCP       00009628  LISTEN     10.106.44.101:22     0.0.0.0:*

ciscoasa#
ciscoasa# session cxsc console
Opening console session with module cxsc.
Connected to module cxsc. Escape character sequence is 'CTRL-^X'.

asacx>

Identificação de bug Cisco CSCuh65249 (ASA 5500-X: Precise uma maneira de cancelar para fora a conexão de console ao módulo IPS/CX) foi arquivado a fim introduzir uma maneira mais graciosa de cancelar tal conexão de console.

A identificação de bug Cisco CSCud27214 (não pode retirar do console da sessão IP quando conectado ao servidor terminal) foi arquivada a fim resolver a incapacidade retirar de um console quando anexada através de um servidor terminal com uma sequência de escape de Ctrl^x.

Solução alternativa

Alternativamente, se não é possível matar a conexão de console que existe com uso do método mencionado previamente, use a sessão IP ou a sessão CX comandam a fim alcançar os módulos IPS ou CX, respectivamente. Esta não é uma conexão de console. Consequentemente, é possível ter as sessões múltiplas estabelecidas simultaneamente ao módulo de software.

Informações Relacionadas


Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Document ID: 116404