Sécurité : Cisco Adaptive Security Device Manager

Problèmes de connexion ASA au Cisco Adaptive Security Device Manager

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document fournit la méthodologie de dépannage nécessaire pour examiner des questions faites face quand vous accédez à/configurez l'appliance de sécurité adaptable Cisco (ASA) avec le Cisco Adaptive Security Device Manager (ASDM). L'ASDM fournit la Gestion de la sécurité et les services de contrôle pour des dispositifs de sécurité par une interface de gestion graphique.

Contribué par Ishwinder Cheema et geai Johnston, ingénieurs TAC Cisco.

Conditions préalables

Conditions requises

Les scénarios, les symptômes, et les étapes répertoriées dans ce document sont écrits pour dépannage des questions après que la configuration initiale soit installée sur l'ASA. Pour la configuration initiale, référez-vous à l'ASDM configurant Access pour la section d'appareils du guide de configuration général des exécutions ASDM de gamme de Cisco ASA, 7.1.

Ce document utilise l'ASA CLI pour le dépannage, qui exige l'accès du Protocole Secure Shell (SSH) /Telnet/Console à l'ASA.

Composants utilisés

Les informations dans ce document sont basées sur l'ASDM et l'ASA.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Dépannage de la méthodologie

Il y a trois points importants de panne sur lesquels ce document de dépannage se concentre. Si vous adhérez au processus de dépannage général dans cette commande, ce document devrait vous aider à déterminer le problème exact avec l'utilisation/accès ASDM.

Configuration ASA

Il y a trois configurations essentielles qui sont présentes sur l'ASA qui sont nécessaire afin d'accéder à avec succès l'ASDM :

  • Image ASDM dans l'éclair
  • Image ASDM en service
  • Restrictions de serveur HTTP

Image ASDM dans l'éclair

Assurez-vous que la version exigée de l'ASDM est téléchargée à l'éclair. Il peut être téléchargé avec actuellement la version de passage de l'ASDM ou avec d'autres méthodes conventionnelles de transfert de fichiers à l'ASA, telle que le TFTP.

Écrivez le show flash sur l'ASA CLI afin de vous aider à répertorier les fichiers actuels sur la mémoire flash ASA. Vérifiez la présence du fichier ASDM :

ciscoasa# show flash --#--  --length--  -----date/time------  path

249 76267 Feb 28 2013 19:58:18 startup-config.cfg
250 4096 May 12 2013 20:26:12 sdesktop
251 15243264 May 08 2013 21:59:10 asa823-k8.bin
252 25196544 Mar 11 2013 22:43:40 asa845-k8.bin
253 17738924 Mar 28 2013 00:12:12 asdm-702.bin ---- ASDM Image

Afin de vérifier plus loin si l'image actuelle sur l'éclair est valide et ne pas corrompre, vous pouvez employer la commande de vérifier afin de comparer les informations parasites enregistrées de MD5 dans le progiciel et les informations parasites de MD5 du présent réel de fichier :

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

Cette étape devrait vous aider à vérifier si l'image est présent et son intégrité sur l'ASA.

Image ASDM en service

Ce processus est défini sous la configuration ASDM sur l'ASA. Une définition de configuration d'échantillon de l'image en cours qui est utilisée ressemble à ceci :

image disk0:/asdm-702.bin d'asdm

Afin de vérifier plus loin, vous pouvez également employer la commande d'image d'asdm d'exposition :

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

Restrictions de serveur HTTP

Cette étape est essentielle dans la configuration ASDM, parce qu'elle définit que les réseaux ont accès à l'ASA. Une configuration d'échantillon ressemble à ceci :

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

Vérifiez que vous faites définir les réseaux nécessaires dans la configuration précédente. L'absence de ces définitions fait chronométrer le lanceur ASDM tandis qu'elle connecte et donne cette erreur :

La page de lancement ASDM (adresse IP >/admin de https:// <ASA) n'entraîne la demande de chronométrer et aucune page est affichée.

Vérifiez plus loin que le serveur HTTP utilise un port non standard pour la connexion ASDM, telle que 8443. Ceci est mis en valeur dans la configuration :

HTTP de passage d'exposition de ciscoasa(config)#

enable 8443 de serveur de HTTP

S'il utilise un port non standard, vous devez spécifier le port quand vous vous connectez à l'ASA dans le lanceur ASDM en tant que :

Ceci s'applique également pour quand vous accédez à la page de lancement ASDM : https://10.106.36.132:8443/admin

D'autres questions possibles de configuration

Après que vous vous terminiez les étapes précédentes, l'ASDM devrait s'ouvrir si tout est fonctionnel sur le côté client. Cependant, si vous éprouvez toujours des questions, ouvrez l'ASDM d'un autre ordinateur. Si vous réussissez, l'IS-IS de question probablement au niveau application, et la configuration ASA est bien. Cependant, s'il toujours ne lance pas, terminez-vous ces étapes pour vérifier plus loin les configurations d'ASA-side :

  1. Vérifiez la configuration de Secure Sockets Layer (SSL) sur l'ASA. L'ASDM utilise le SSL tandis qu'il communique avec l'ASA. Basé sur le chemin que l'ASDM est lancé, un plus nouveau logiciel de SYSTÈME D'EXPLOITATION ne pourrait pas permettre l'utilisation des chiffrements plus faibles quand elle négocie des sessions SSL.

    Vérifiez quels chiffrements sont permis sur l'ASA, et si des versions SSL de particularité sont spécifiées dans la configuration avec l'exposition exécutez toute la commande SSL :
    ciscoasa# show run all ssl
    ssl server-version any <--- Check SSL Version restriction configured on the ASA
    ssl client-version any
    ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
    permitted on the ASA
    S'il y a des erreurs de négociation de chiffrement SSL tandis que les lancements ASDM, ils affichent dans les logs ASA :
    %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
    no shared cipher
    %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
    identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance
    Si vous voyez les configurations spécifiques, retournez-les au par défaut.

    Notez que le permis VPN-3DES-AES doit être activé sur l'ASA pour que les chiffrements 3DES et AES soient utilisés par l'ASA dans la configuration. Ceci peut être vérifié avec la commande de show version sur le CLI. Les affichages de sortie comme ceci :
    ciscoasa#show version

    Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
    Internal ATA Compact Flash, 64MB
    Slot 1: ATA Compact Flash, 32MB
    BIOS Flash M50FW080 @ 0xffe00000, 1024KB
    <snip>
    Failover            : Active/Active
    VPN-DES             : Enabled  
    VPN-3DES-AES        : Enabled
    <snip>
    Un permis VPN-3DES-AES peut être obtenu sans n'importe quel coût de Cisco autorisant le site Web. Cliquez sur Security les Produits, et puis choisissez le permis de 3DES/AES Cisco ASA.

    Remarque: Dans les nouvelles Plateformes ASA 5500-X qui se transportent avec le code 8.6/9.x, les configurations de chiffrement SSL sont placées à des-sha1 par défaut, qui fait ne pas fonctionner les sessions ASDM. Référez-vous à l'ASA 5500-x : L'ASDM et toute autre fonction SSL n'établissent pas du pour en savoir plus d'article de case.

  2. Vérifiez que le webvpn est activé sur l'ASA. S'il est activé, vous devez utiliser cet URL (https://10.106.36.132/admin) afin de l'accéder à quand vous accédez à la page de lancement de Web ASDM.

  3. Vérifiez une configuration de Traduction d'adresses de réseau (NAT) sur l'ASA pour le port 443. Ceci fait ne pas traiter les demandes d'ASDM mais les envoyer plutôt l'ASA au réseau/à interface pour lesquels le NAT a été configuré.

  4. Si tout est vérifié et l'ASDM chronomètre toujours, vérifiez que l'ASA est installée pour écouter sur le port défini l'ASDM avec la commande de socket de table d'asp d'exposition sur l'ASA CLI. La sortie devrait prouver que l'ASA écoute sur le port ASDM :
    Protocol  Socket    Local Address               Foreign Address         State
    SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN
    Si cette sortie n'affiche pas, retirez et réappliquez la configuration de serveur HTTP sur l'ASA afin de remettre à l'état initial le socket sur le logiciel ASA.

  5. Si vous éprouvez des questions quand vous ouvrez une session/authentifiez à l'ASDM, vérifient que les options d'authentification pour le HTTP sont installées correctement. Si aucune authentication command n'est placée, vous pouvez employer le mot de passe d'enable ASA pour ouvrir une session à l'ASDM. Si vous voulez activer le nom d'utilisateur/authentification basée sur passoword, vous devez écrire cette configuration afin d'authentifier des sessions ASDM/HTTP à l'ASA de la base de données du nom d'utilisateur/mot de passe de l'ASA :
    aaa authentication http console LOCAL
    Souvenez-vous pour créer un nom d'utilisateur/mot de passe quand vous activez la commande précédente :
    username <username> password <password> priv <Priv level>
    Si aucune de ces étapes n'aide, ceux-ci mettent au point des options sont disponibles sur l'ASA pour des recherches plus approfondies :
    debug http 255
    debug asdm history 255

Connectivité réseau

Si vous vous êtes terminé la section précédente et ne pouvez pas encore accéder à l'ASDM, l'étape suivante est de vérifier la connexion réseau à votre ASA de l'ordinateur duquel vous voulez accéder à l'ASDM. Il y a quelques étapes de dépannage de base afin de vérifier que l'ASA reçoit la demande de la machine cliente :

  1. Test avec le Protocole ICMP (Internet Control Message Protocol).
    Cinglez l'interface ASA dont vous voulez accéder à l'ASDM. Le ping devrait être réussi si l'ICMP est permis pour traverser votre réseau et il n'y a aucune restriction au niveau d'interface ASA. Si le ping échoue, il est probablement parce qu'il y a une question de transmission entre l'ASA et la machine cliente. Cependant, ce n'est pas une étape concluante pour déterminer qu'il y a ce type de question de transmission.

  2. Confirmez avec la capture de paquet.
    Placez une capture de paquet sur l'interface de laquelle vous voulez accéder à l'ASDM. La capture devrait prouver que les paquets TCP destinés à l'adresse IP d'interface arrivent avec la destination port le numéro 443 (par défaut).

    Afin de configurer une capture, utilisez cette commande :
    capture asdm_test interface <name of the ASA interface> match tcp host 
    <IP address of the interface> eq 443 host <IP address of the client machine>

    For example, cap asdm_test interface mgmt match tcp host 10.106.36.132
    eq 443 host 10.106.36.13
    Ceci capture n'importe quel trafic TCP qui est livré pour le port 443 sur l'interface ASA de laquelle vous vous connectez à l'ASDM. Connectez par l'intermédiaire de l'ASDM en ce moment ou ouvrez la page de lancement de Web ASDM. Employez alors l'ordre asdm_test de show capture afin de visualiser le résultat des paquets capturés :
    ciscoasa# show capture asdm_test

    Three packets captured

       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>

       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>
    Cette capture affiche une demande de synchroniser (synchronisation) de la machine cliente à l'ASA, mais l'ASA n'envoie aucune réponse. Si vous voyez une capture semblable à la précédente, il signifie que la portée de paquets l'ASA mais l'ASA ne répond pas à ces demandes, qui localise la question dans l'ASA elle-même. Référez-vous à la première section de ce document afin de dépanner plus loin.

    Cependant, si vous ne voyez pas que la sortie semblable au précédent et aucun paquet ne sont capturés, il signifie qu'il y a un problème de Connectivité entre l'ASA et la machine cliente ASDM. Vérifiez qu'il n'y a aucun périphérique intermédiaire qui pourrait bloquer le trafic du port TCP 443 et qui là ne sont aucune configuration du navigateur, telle que les paramètres de proxy, qui pourraient empêcher le trafic d'atteindre l'ASA.

    Typiquement, la capture de paquet est une bonne manière de déterminer si le chemin à l'ASA est dégagé, et si d'autres diagnostics ne pourraient pas être nécessaires pour éliminer des problèmes de connexion réseau.

Logiciel d'application

Cette section décrit comment dépanner le logiciel de lanceur ASDM qui a été installé sur la machine cliente quand il échoue pour lancer/chargement. Le lanceur ASDM est le composant qui réside sur la machine cliente et se connecte à l'ASA afin de récupérer l'image ASDM. Une fois que récupérée, l'image ASDM est habituellement enregistrée dans le cache et est prise de là jusqu'à ce que toutes les modifications soient notées du côté ASA, tel qu'une mise à jour d'image ASDM.

Terminez-vous ces étapes de dépannage de base afin d'éliminer toutes les questions sur la machine cliente :

  1. Ouvrez la page de lancement ASDM d'un autre ordinateur. S'il lance, il signifie que la question est avec la machine cliente en question. S'il échoue, suivez le guide de dépannage du début pour isoler les composants impliqués dans la commande.

  2. Ouvrez l'ASDM par l'intermédiaire du lancement de Web, et lancez le logiciel directement de là. S'il réussit, il est probable qu'il y ait des questions avec l'installation de lanceur ASDM. Désinstallez le lanceur ASDM de la machine cliente, et réinstallez-le du lancement de Web ASA lui-même.

  3. Effacez le répertoire de cache de l'ASDM dans le répertoire home d'utilisateur. Par exemple, dans le Windows 7, il se trouve ici : <username> de C:\Users\ \ .asdm \ cache. Le cache est effacé quand vous supprimez le répertoire de cache entier. Si les débuts ASDM avec succès, vous peuvent également clair le cache du menu File ASDM.

  4. Vérifiez que la version Java appropriée est installée. Les notes de mise à jour en Cisco ASDM répertorient les conditions requises pour les versions Java testées.

  5. Effacez le cache de Javas. Au panneau de contrôle Java, choisissez le général > le fichier Internet provisoire. Puis, la vue de clic afin de lancer Java cachent le visualiseur. Supprimez toutes les entrées qui se rapportent ou sont liées à l'ASDM.

  6. Si ces étapes échouent, collectez les informations de débogage de la machine cliente pour des recherches plus approfondies. Élimination des imperfections d'enable pour l'ASDM avec l'URL : https:// < adresse IP de l'ASA>?debug=5 par exemple https://10.0.0.1?debug=5.

    La version 6 de Javas (également étant appelé la version 1.6), des messages d'élimination des imperfections de Javas sont activés du panneau de contrôle Java > avancé. Sélectionnez alors les cases sous l'élimination des imperfections. Ne sélectionnez pas ne mettent pas en marche la console sous la console Java. L'élimination des imperfections de Javas doit être activée avant que des débuts ASDM.


    La sortie de la console Java est enregistrée dans le .asdm/répertoire de log du répertoire home d'utilisateur. Des logs ASDM pourraient également être trouvés dans le même répertoire. Par exemple, dans le Windows 7, les logs sont sous C:\Users\ <username>/.asdm/log/.

Exécutez les commandes avec HTTPS

Cette procédure aide à déterminer toutes les questions de la couche 7 pour le canal de HTTP. Ces informations s'avèrent utile quand vous êtes dans une situation où l'application ASDM elle-même n'est pas accessible, et il n'y a pas aucun accès CLI disponible pour gérer le périphérique.

L'URL qui est utilisé pour accéder à la page de lancement de Web ASDM peut également être utilisé pour exécuter toutes les commandes de configuration configuration sur l'ASA. Cet URL peut être utilisé afin d'apporter des modifications de configuration à un niveau de base à l'ASA, qui inclut une recharge de périphérique distant. Afin de sélectionner une commande, utilisez cette syntaxe :

https:// < adresse IP de l'ASA>/admin/exec/<command>

S'il y a un espace dans la commande et le navigateur ne peut pas analyser des caractères espace dans un URL, vous pouvez utiliser + signe ou %20 d'indiquer l'espace.

Par exemple, le ver de https://10.106.36.137/admin/exec/show a comme conséquence un show version sorti au navigateur :

Cette méthode d'exécution de la commande exige que le serveur HTTP est activé sur l'ASA et a les restrictions nécessaires de HTTP actives. Cependant, ceci n'exige pas d'une image ASDM d'être présente sur l'ASA.

Informations connexes



Document ID: 116403