Problèmes de connexion ASA à Cisco Adaptive Security Device Manager

Introduction

Ce document fournit la méthodologie de dépannage nécessaire pour examiner les problèmes rencontrés lors de l'accès/de la configuration de Cisco Adaptive Security Appliance (ASA) avec Cisco Adaptive Security Device Manager (ASDM). ASDM fournit des services de gestion et de surveillance de la sécurité pour les appliances de sécurité via une interface de gestion graphique.

Conditions préalables

Conditions requises

Les scénarios, symptômes et étapes répertoriés dans ce document sont écrits pour le dépannage des problèmes après la configuration initiale sur l'ASA. Pour la configuration initiale, reportez-vous à la section Configuration de l'accès ASDM pour les appareils du Guide de configuration ASDM des opérations générales de la gamme Cisco ASA, 7.1.

Ce document utilise l'interface de ligne de commande ASA pour le dépannage, qui nécessite un accès SSH (Secure Shell)/Telnet/Console à l'ASA.

Components Used

Les informations de ce document sont basées sur l'ASDM et l'ASA.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.

Méthodologie de dépannage

Ce document de dépannage se concentre sur trois points principaux de défaillance. Si vous respectez la procédure de dépannage générale décrite dans cet ordre, ce document doit vous aider à déterminer le problème exact de l'utilisation/accès ASDM.

• Configuration ASA
• Connectivité réseau
• Logiciel d'application

Configuration ASA

Trois configurations essentielles sont présentes sur l'ASA et sont nécessaires pour accéder à l'ASDM :

• Image ASDM dans Flash
• Image ASDM utilisée
• Restrictions du serveur HTTP

Image ASDM dans Flash

Assurez-vous que la version requise de l'ASDM est téléchargée dans la mémoire Flash. Il peut être téléchargé avec la version en cours d'exécution de l'ASDM ou avec d'autres méthodes conventionnelles de transfert de fichiers vers l'ASA, comme TFTP.

Entrez show flash sur l'interface de ligne de commande ASA afin de vous aider à répertorier les fichiers présents sur la mémoire flash ASA. Vérifiez la présence du fichier ASDM :

ciscoasa# show flash --#--  --length--  -----date/time------  path

249  76267       Feb 28 2013 19:58:18  startup-config.cfg
250  4096        May 12 2013 20:26:12  sdesktop 
251  15243264    May 08 2013 21:59:10  asa823-k8.bin 
252  25196544    Mar 11 2013 22:43:40  asa845-k8.bin 
253  17738924    Mar 28 2013 00:12:12  asdm-702.bin    ---- ASDM Image

Afin de vérifier davantage si l'image présente sur la mémoire flash est valide et non endommagée, vous pouvez utiliser la commande verify afin de comparer le hachage MD5 stocké dans le package logiciel et le hachage MD5 du fichier réel présent :

ciscoasa# verify flash:/asdm-702.bin
Verifying file integrity of disk0:/asdm-702.bin
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Done!
Embedded Hash MD5: e441a5723505b8753624243c03a40980
Computed Hash MD5: e441a5723505b8753624243c03a40980
CCO Hash      MD5: c305760ec1b7f19d910c4ea5fa7d1cf1
Signature Verified
Verified disk0:/asdm-702.bin

Cette étape doit vous aider à vérifier si l'image est présente et son intégrité sur l'ASA.

Image ASDM utilisée

Ce processus est défini dans la configuration ASDM sur l'ASA. Voici un exemple de définition de configuration de l'image actuelle utilisée :

asdm image disk0:/asdm-702.bin

Afin de vérifier plus en détail, vous pouvez également utiliser la commande show asdm image :

ciscoasa# show asdm image
Device Manager image file, disk0:/asdm-702.bin

Restrictions du serveur HTTP

Cette étape est essentielle dans la configuration de l'ASDM, car elle définit quels réseaux ont accès à l'ASA. Voici un exemple de configuration :

http server enable
http 192.168.1.0 255.255.255.0 inside

http 64.0.0.0 255.0.0.0 outside

Vérifiez que les réseaux nécessaires sont définis dans la configuration précédente. L'absence de ces définitions provoque le délai d'expiration du lanceur ASDM lors de sa connexion et donne cette erreur :

La page de lancement de l'ASDM (https://<adresse IP ASA>/admin) provoque l'expiration de la demande et aucune page n'est affichée.

Vérifiez en outre que le serveur HTTP utilise un port non standard pour la connexion ASDM, tel que 8443. Ceci est mis en surbrillance dans la configuration :

ciscoasa(config)# show run http

http server enable 8443

S'il utilise un port non standard, vous devez spécifier le port lorsque vous vous connectez à l'ASA dans le lanceur ASDM comme suit :

Cela s'applique également lorsque vous accédez à la page de lancement d'ASDM : https://10.106.36.132:8443/admin

Autres problèmes de configuration possibles

Une fois les étapes précédentes terminées, l'ASDM doit s'ouvrir si tout fonctionne du côté du client. Cependant, si vous rencontrez toujours des problèmes, ouvrez l'ASDM à partir d'une autre machine. Si vous réussissez, le problème se situe probablement au niveau de l'application et la configuration ASA est correcte. Cependant, si le lancement échoue toujours, complétez ces étapes pour vérifier les configurations côté ASA :

1. Vérifiez la configuration SSL (Secure Sockets Layer) sur l'ASA. ASDM utilise SSL alors qu'il communique avec l'ASA. En fonction de la façon dont ASDM est lancé, un nouveau logiciel de système d'exploitation peut ne pas autoriser l'utilisation de chiffrement plus faible lorsqu'il négocie des sessions SSL.
   
   Vérifiez quels chiffrement sont autorisés sur l'ASA et si des versions SSL spécifiques sont spécifiées dans la configuration à l'aide de la commande show run all ssl :
   

   ciscoasa# show run all ssl
   ssl server-version any <--- Check SSL Version restriction configured on the ASA
   ssl client-version any
   ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 <--- Check SSL ciphers
   permitted on the ASA

   S'il y a des erreurs de négociation de chiffrement SSL pendant le lancement de l'ASDM, elles s'affichent dans les journaux ASA :
   

   %ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason:
   no shared cipher
   %ASA-6-302014: Teardown TCP connection 3 for mgmt:64.103.236.189/52501 to
   identity:10.106.36.132/443 duration 0:00:00 bytes 7 TCP Reset by appliance

   Si des paramètres spécifiques s'affichent, revenez à leur valeur par défaut.
   
   Notez que la licence VPN-3DES-AES doit être activée sur l'ASA pour les chiffrement 3DES et AES à utiliser par l'ASA dans la configuration. Ceci peut être vérifié avec la commande show version sur l'interface de ligne de commande. Le résultat s'affiche comme suit :
   

   ciscoasa#show version
   
   Hardware: ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1600 MHz
   Internal ATA Compact Flash, 64MB
   Slot 1: ATA Compact Flash, 32MB
   BIOS Flash M50FW080 @ 0xffe00000, 1024KB
   <snip>
   Failover            : Active/Active
   VPN-DES             : Enabled  
   VPN-3DES-AES        : Enabled
   <snip>

   Une licence VPN-3DES-AES peut être obtenue sans aucun coût sur le site Web de licence Cisco. Cliquez sur Produits de sécurité, puis sélectionnez Licence Cisco ASA 3DES/AES.
   

   Note: Dans les nouvelles plates-formes ASA 5500-X livrées avec le code 8.6/9.x, les paramètres de chiffrement SSL sont définis sur des-sha1 par défaut, ce qui empêche les sessions ASDM de fonctionner. Référez-vous à ASA 5500-x : ASDM et d'autres fonctions SSL ne fonctionnent pas à partir de l'article de boîte pour plus d'informations.

2. Vérifiez que WebVPN est activé sur l'ASA. Si elle est activée, vous devez utiliser cette URL (https://10.106.36.132/admin) pour y accéder lorsque vous accédez à la page de lancement Web ASDM.


3. Recherchez une configuration NAT (Network Address Translation) sur l'ASA pour le port 443. Cela fait que l'ASA ne traite pas les requêtes pour ASDM mais les envoie plutôt au réseau/interface pour lequel la NAT a été configurée.


4. Si tout est vérifié et que l'ASDM expire toujours, vérifiez que l'ASA est configuré pour écouter sur le port défini pour l'ASDM avec la commande show asp table socket sur l'interface de ligne de commande ASA. Le résultat doit montrer que l'ASA écoute sur le port ASDM :
   

   Protocol  Socket    Local Address               Foreign Address         State
   SSL       0001b91f  10.106.36.132:443           0.0.0.0:*               LISTEN

   Si ce résultat n'apparaît pas, supprimez et réappliquez la configuration du serveur HTTP sur l'ASA afin de réinitialiser le socket sur le logiciel ASA.


5. Si vous rencontrez des problèmes lorsque vous vous connectez/authentifiez à l'ASDM, vérifiez que les options d'authentification pour HTTP sont configurées correctement. Si aucune commande d'authentification n'est définie, vous pouvez utiliser le mot de passe ASA enable pour vous connecter à l'ASDM. Si vous voulez activer l'authentification basée sur le nom d'utilisateur/mot de passe, vous devez entrer cette configuration afin d'authentifier les sessions ASDM/HTTP vers l'ASA à partir de la base de données de nom d'utilisateur/mot de passe de l'ASA :
   

   aaa authentication http console LOCAL

   N'oubliez pas de créer un nom d'utilisateur/mot de passe lorsque vous activez la commande précédente :
   

   username <username> password <password> priv <Priv level>

   Si aucune de ces étapes n'aide, ces options de débogage sont disponibles sur l'ASA pour une analyse plus approfondie :
   

   debug http 255
   debug asdm history 255

Connectivité réseau

Si vous avez terminé la section précédente et que vous ne pouvez toujours pas accéder à l'ASDM, l'étape suivante consiste à vérifier la connectivité réseau à votre ASA à partir de la machine à partir de laquelle vous voulez accéder à l'ASDM. Il existe quelques étapes de dépannage de base afin de vérifier que l'ASA reçoit la requête de la machine cliente :

1. Testez avec le protocole ICMP (Internet Control Message Protocol).
   Envoyez une requête ping à l'interface ASA à partir de laquelle vous voulez accéder à l'ASDM. La requête ping doit aboutir si ICMP est autorisé à traverser votre réseau et qu'il n'y a aucune restriction au niveau de l'interface ASA. Si la requête ping échoue, c'est probablement en raison d'un problème de communication entre l'ASA et la machine cliente. Cependant, il ne s'agit pas d'une étape décisive pour déterminer qu'il existe ce type de problème de communication.


2. Confirmez la capture de paquets.
   Placez une capture de paquets sur l'interface à partir de laquelle vous voulez accéder à l'ASDM. La capture doit montrer que les paquets TCP destinés à l'adresse IP de l'interface arrivent avec le numéro de port de destination 443 (par défaut).
   
   Afin de configurer une capture, utilisez cette commande :
   

   capture asdm_test interface 
          
          
            match tcp host 
           
    
           
             eq 443 host 
             
            
          
   For example, cap asdm_test interface mgmt match tcp host 10.106.36.132 
   eq 443 host 10.106.36.13

   Ceci capture tout trafic TCP provenant du port 443 de l'interface ASA à partir de laquelle vous vous connectez à l'ASDM. Connectez-vous via ASDM à ce stade ou ouvrez la page de lancement Web d'ASDM. Ensuite, utilisez la commande show capture asdm_test afin d'afficher le résultat des paquets capturés :
   

   ciscoasa# show capture asdm_test
   
    Three packets captured
   
       1: 21:38:11.658855 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
   
       2: 21:38:14.659252 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
   
       3: 21:38:20.662166 10.106.36.13.54604 > 10.106.36.132.443:
          S 807913260:807913260(0) win 8192 <mss 1260,nop,nop,sackOK>

   Cette capture montre une requête de synchronisation (SYN) de la machine cliente vers l'ASA, mais l'ASA n'envoie aucune réponse. Si vous voyez une capture similaire à la précédente, cela signifie que les paquets atteignent l'ASA mais l'ASA ne répond pas à ces requêtes, ce qui isole le problème à l'ASA lui-même. Reportez-vous à la première section de ce document afin de dépanner plus loin.
   
   Cependant, si vous ne voyez pas de sortie similaire à la précédente et qu'aucun paquet n'est capturé, cela signifie qu'il y a un problème de connectivité entre l'ASA et la machine client ASDM. Vérifiez qu'aucun périphérique intermédiaire ne peut bloquer le trafic du port TCP 443 et qu'aucun paramètre de navigateur, tel que les paramètres du proxy, n'empêche le trafic d'atteindre l'ASA.
   
   En règle générale, la capture de paquets est un bon moyen de déterminer si le chemin vers l'ASA est clair et si des diagnostics supplémentaires peuvent ne pas être nécessaires pour exclure les problèmes de connectivité réseau.

Logiciel d'application

Cette section décrit comment dépanner le logiciel de lancement ASDM qui a été installé sur l'ordinateur client lorsqu'il ne parvient pas à démarrer/charger. Le lanceur ASDM est le composant qui réside sur la machine cliente et se connecte à l'ASA afin de récupérer l'image ASDM. Une fois récupérée, l'image ASDM est généralement stockée dans le cache et est prise de là jusqu'à ce que toute modification soit détectée du côté ASA, telle qu'une mise à jour d'image ASDM.

Complétez ces étapes de dépannage de base afin d'éliminer tout problème sur l'ordinateur client :

1. Ouvrez la page de lancement ASDM à partir d'un autre ordinateur. S'il est lancé, cela signifie que le problème concerne la machine cliente en question. En cas d'échec, suivez le guide de dépannage dès le début pour isoler les composants concernés dans l'ordre.


2. Ouvrez l'ASDM via le lancement Web et lancez le logiciel directement à partir de là. S'il réussit, il est probable que l'installation du lanceur ASDM présente des problèmes. Désinstallez le lanceur ASDM de la machine cliente et réinstallez-le à partir du lancement Web ASA lui-même.


3. Effacez le répertoire de cache de l'ASDM dans le répertoire d'accueil de l'utilisateur. Par exemple, sous Windows 7, il se trouve ici : C:\Users\<nom d'utilisateur>\.asdm\cache. Le cache est effacé lorsque vous supprimez l'intégralité du répertoire du cache. Si l'ASDM démarre correctement, vous pouvez également effacer le cache à partir du menu Fichier ASDM.


4. Vérifiez que la version Java appropriée est installée. Les notes de version de Cisco ASDM répertorient les conditions requises pour les versions Java testées.


5. Effacez le cache Java. Dans le Panneau de configuration Java, sélectionnez Général > Fichier Internet temporaire. Ensuite, cliquez sur Afficher afin de lancer une Visionneuse de cache Java. Supprimez toutes les entrées qui font référence à ASDM ou qui sont liées à celui-ci.


6. Si ces étapes échouent, collectez les informations de débogage à partir de la machine cliente pour une enquête plus approfondie. Activez le débogage pour ASDM avec l'URL : https://<adresse IP de l'ASA>?debug=5 e.g. https://10.0.0.1?debug=5.
   
   Avec Java Version 6 (également appelée Version 1.6), les messages de débogage Java sont activés à partir du Panneau de configuration Java > Avancé. Activez ensuite les cases à cocher sous Débogage. Ne sélectionnez pas Ne pas démarrer la console sous la console Java. Le débogage Java doit être activé avant le démarrage d'ASDM.
   

   

   
   La sortie de console Java est enregistrée dans le répertoire .asdm/log du répertoire d'accueil de l'utilisateur. Les journaux ASDM se trouvent également dans le même répertoire. Par exemple, sous Windows 7, les journaux sont sous C:\Users\<nom d'utilisateur>/.asdm/log/.

Exécuter des commandes avec HTTPS

Cette procédure permet de déterminer les problèmes de couche 7 pour le canal HTTP. Ces informations s'avèrent utiles lorsque vous vous trouvez dans une situation où l'application ASDM elle-même n'est pas accessible et où il n'y a aucun accès CLI disponible pour gérer le périphérique.

L'URL utilisée pour accéder à la page de lancement Web d'ASDM peut également être utilisée pour exécuter toutes les commandes de niveau configuration sur l'ASA. Cette URL peut être utilisée afin d'apporter des modifications de configuration à un niveau de base à l'ASA, qui inclut un rechargement de périphérique distant. Pour entrer une commande, utilisez la syntaxe suivante :

https://<adresse IP de l'ASA>/admin/exec/<commande>

Si la commande comporte un espace et que le navigateur ne peut pas analyser les caractères d'espace dans une URL, vous pouvez utiliser le signe + ou %20 pour indiquer l'espace.

Par exemple, https://10.106.36.137/admin/exec/show ver génère une sortie show version dans le navigateur :

Cette méthode d'exécution de commande nécessite que le serveur HTTP soit activé sur l'ASA et que les restrictions HTTP nécessaires soient actives. Cependant, ceci ne nécessite PAS la présence d'une image ASDM sur l'ASA.

Informations connexes

• Configuration de l'accès ASDM pour les appliances
• ASA 5500-x : ASDM et d'autres fonctions SSL ne fonctionnent pas en dehors de la zone
• Notes de version de Cisco ASDM
• Page de licence Cisco pour obtenir une licence 3DES/AES sur ASA
• Support et documentation techniques - Cisco Systems

Historique de révision