Безопасность : Cisco Secure Access Control Server Solution Engine

ACS Solution Engine не отвечает на запросы

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

В ходе администрирования типичной сети распространено попытаться пропинговать сервер Cisco Secure Access Control Server (ACS) Прикладное устройство управления услугами Solution Engine, чтобы определить, произошло ли устройство и достижимый. Однако эти эхо-запросы отказывают из-за ограничений усиленной безопасности на месте на устройство.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на Прикладном устройстве управления услугами Solution Engine Cisco Secure ACS.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

Прикладное устройство управления услугами Solution Engine Cisco Secure ACS, также известное как Устройство Cisco Secure ACS, основывается на Microsoft Windows, и поэтому уязвимо для атак PMTUD и для атак на основе ICMP "твердые" сообщения об ошибках. Такие атаки детализированы в Обработанных Сообщениях ICMP, Может Вызвать рекомендацию по вопросам безопасности Отказа в обслуживании.

Последние версии Прикладного устройства управления услугами Solution Engine Cisco Secure ACS отправляют с Cisco Security Agent (CSA), который настроен для блокирования всех входящих сообщений ICMP. Под этой ситуацией Прикладное устройство управления услугами Solution Engine Cisco Secure ACS не уязвимо ни для одной из атак, которые описывает этот документ.

Проблема

Прикладное устройство управления услугами Solution Engine Cisco Secure ACS не отвечает на эхо-запросы как обычный, сервер Cisco Secure ACS на базе Windows.

Решение

Сбой Прикладного устройства управления услугами Solution Engine Cisco Secure ACS для ответа на эхо-запросы является результатом набора правила, применился к CSA, установленному на устройстве.

Для разрешения эхо-запроса на Прикладном устройстве управления услугами Solution Engine ACS необходимо отключить CSA. Это может быть сделано через меню System Configuration> Appliance Configuration. Существует опция, чтобы отключить или включить CSA. При отключении этого агента можно тогда пропинговать устройство.

Примечание: Отключите CSA, только если вы хотите проверить эхо-запросы для работы.

Проверьте порт TCP 2002

Вместо того, чтобы контролировать статус устройства с использованием ICMP, можно проверить, что это произошло и достижимый при соединении с устройством на порту TCP 2002. Telnet к устройству на порту 2002 и нажимает Enter. Необходимо видеть ошибку: HTTP 500 Internal Server Error

Это - пример этой процедуры, выполненной в командной строке Windows:

C:\>telnet 172.18.124.101 2002 <enter>
    <enter>

    HTTP/1.0 500 Internal Server Error

    Connection to host lost.

    C:\>

Кроме того, можно загрузить несколько свободных утилит типа эхо-запроса TCP из Интернета, которые пытаются соединиться с хостом на любом порту TCP и сообщить, если отвечает хост.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 71068