Sécurité : Cisco Secure Access Control Server Solution Engine

ACS Solution Engine ne répond pas aux commandes ping

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Au cours de la gestion de réseau ordinaire, il est commun pour tenter de cingler l'engine de solution du Cisco Secure Access Control Server (ACS) afin de déterminer si l'appliance est haute et accessible. Cependant, échouer de ces pings dû aux restrictions de sécurité optimisée en place sur l'appliance.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur l'engine de solution de Cisco Secure ACS.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Informations générales

L'engine de solution de Cisco Secure ACS, également connue sous le nom d'appliance de Cisco Secure ACS, est basée sur Microsoft Windows, et est donc vulnérable aux attaques PMTUD et aux attaques basées sur les messages d'erreur « durs » d'ICMP. De telles attaques sont détaillées dans les messages ICMP ouvrés peuvent entraîner le bulletin de renseignements de Sécurité de Déni de service.

Les versions récentes de l'engine de solution de Cisco Secure ACS se transportent avec le Cisco Security Agent (CSA), qui est configuré pour bloquer tous les messages ICMP entrants. Sous cette situation, l'engine de solution de Cisco Secure ACS n'est pas vulnérable aux attaques l'unes des que ce document décrit.

Problème

L'engine de solution de Cisco Secure ACS ne répond pas aux pings comme un serveur normal et basé sur Windows de Cisco Secure ACS.

Solution

Le manque de l'engine de solution de Cisco Secure ACS de répondre aux pings est le résultat de l'ensemble de règles appliqué au CSA installé sur l'appliance.

Afin de permettre le ping sur vos ACS Solution Engine, vous devez désactiver le CSA. Ceci peut être fait par l'intermédiaire de la configuration système > du menu de configuration d'appareils. Il y a une option de désactiver ou activer le CSA. Si vous désactivez cet agent, vous pouvez alors cingler l'appliance.

Remarque: Désactivez CSA seulement si vous voulez vérifier les pings pour travailler.

Port TCP 2002 de contrôle

Au lieu de surveiller l'état de l'appliance avec l'utilisation de l'ICMP, vous pouvez la vérifier est haut et accessible quand vous vous connectez à l'appliance sur le port TCP 2002. Le telnet à l'appliance sur le port 2002 et appuient sur entrent. Vous devriez voir l'erreur : Erreur interne du serveur du HTTP 500

C'est un exemple de cette procédure exécutée à la ligne de commande Windows :

C:\>telnet 172.18.124.101 2002 <enter>
    <enter>

    HTTP/1.0 500 Internal Server Error

    Connection to host lost.

    C:\>

Supplémentaire, vous pouvez télécharger plusieurs utilitaires libres de ping-type de TCP de l'Internet qui tentent de se connecter à un hôte sur n'importe quel port TCP et de faire rapport si l'hôte répond.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 71068