Introduction
Ce document décrit comment le logiciel d'Adaptive Security Device Manager (ASDM) communique avec l'appliance de sécurité adaptable (ASA) et un module logiciel de FirePOWER installé là-dessus.
Un module de FirePOWER qui est installé sur une ASA peut être géré par l'un ou l'autre :
- Centre de Gestion de FirePOWER (FMC) - C'est la solution de Gestion de hors fonction-case.
- ASDM - C'est la solution de Gestion de sur-case.
Conditions préalables
Exigences
Une configuration ASA pour activer la Gestion ASDM :
ASA5525(config)# interface GigabitEthernet0/0
ASA5525(config-if)# nameif INSIDE
ASA5525(config-if)# security-level 100
ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0
ASA5525(config-if)# no shutdown
ASA5525(config)#
ASA5525(config)# http server enable
ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE
ASA5525(config)# asdm image disk0:/asdm-762150.bin
ASA5525(config)#
ASA5525(config)# aaa authentication http console LOCAL
ASA5525(config)# username cisco password cisco
Vérifiez la compatibilité entre le module ASA/SFR, autrement les onglets de FirePOWER ne seront pas vus.
Supplémentaire, sur l'ASA le permis 3DES/AES devrait être activé :
ASA5525# show version | in 3DES
Encryption-3DES-AES : Enabled perpetual
Assurez que le système client ASDM exécute une version prise en charge de Javas JRE.
- Un hôte de Microsoft Windows 7
- ASA5525-X qui exécute la version 9.6(2.3) ASA
- Version 7.6.2.150 ASDM
- Module logiciel 6.1.0-330 de FirePOWER
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Architecture
L'ASA a trois interfaces internes :
- asa_dataplane - Il est utilisé pour réorienter des paquets du chemin de données ASA au module logiciel de FirePOWER.
- asa_mgmt_plane - Il est utilisé pour permettre à l'interface de gestion de FirePOWER pour communiquer avec le réseau.
- cplane - Contrôlez l'interface plate qui est utilisée pour transférer le Keepalives entre l'ASA et le module de FirePOWER.
Vous pouvez capturer le trafic dans toutes les interfaces internes :
ASA5525# capture CAP interface ?
asa_dataplane Capture packets on dataplane interface
asa_mgmt_plane Capture packets on managementplane interface
cplane Capture packets on controlplane interface
Ceci peut être visualisé comme suit :

Traitement de fond quand un utilisateur se connecte à une ASA par l'intermédiaire de l'ASDM
Considérez cette topologie :

Quand un utilisateur initie une connexion ASDM à l'ASA, ces événements se produiront :
Étape 1 - L'utilisateur initie la connexion ASDM
L'utilisateur spécifie l'adresse IP ASA utilisée pour la Gestion de HTTP, entre dans les qualifications, et initie une connexion vers l'ASA :

À l'arrière-plan, un tunnel SSL entre l'ASDM et l'ASA est établi :

Ceci peut être visualisé comme suit :

Étape 2 - L'ASDM découvre la configuration ASA et l'adresse IP de module de FirePOWER
Sélectionnez la commande du HTTP 255 de débogage sur l'ASA afin d'afficher tous les contrôles qui sont faits à l'arrière-plan quand l'ASDM se connecte à l'ASA :
ASA5525# debug http 255
…
HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication
HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication
HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication
HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22
HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication
HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
- show module - L'ASDM découvre les modules ASA.
- détails de sfr de show module - L'ASDM découvre les détails de module, qui incluent l'adresse IP de Gestion de FirePOWER.
Ceux-ci seront vus à l'arrière-plan comme gamme de connexions SSL du PC vers l'adresse IP ASA :

Étape 3 - L'ASDM initie la transmission vers le module de FirePOWER
Puisque l'ASDM connaît l'adresse IP de Gestion de FirePOWER, elle initie des sessions SSL vers le module :

Ceci sera vu à l'arrière-plan comme des connexions SSL de l'hôte ASDM vers l'adresse IP de Gestion de FirePOWER :

Ceci peut être visualisé comme suit :

L'ASDM authentifie FirePOWER et une alerte de sécurité est affichée puisque le certificat de FirePOWER auto-est signé :

Étape 4 - L'ASDM récupère les commandes de menu de FirePOWER
Après l'authentification réussie, l'ASDM récupère les commandes de menu du périphérique de FirePOWER :

Les onglets récupérés sont affichés dans cet exemple :

Il récupère également l'élément de menu de configuration ASA FirePOWER :

Dépanner
Au cas où l'ASDM ne pourrait pas établir un tunnel SSL avec l'adresse IP de Gestion de FirePOWER, puis il chargera seulement cette commande de menu de FirePOWER :

L'élément de configuration ASA FirePOWER manquera aussi bien :

Vérification 1
Assurez-vous que l'interface de gestion ASA est EN HAUSSE et le switchport connecté à lui est dans le VLAN approprié :
ASA5525# show interface ip brief | include Interface|Management0/0
Interface IP-Address OK? Method Status Protocol
Management0/0 unassigned YES unset up up
Dépannage recommandé
- Placez le VLAN approprié.
- Apportez le port (vérifiez le câble, vérifiez la configuration switchport (vitesse/duplex/fermé)).
Vérification 2
Assurez-vous que le module de FirePOWER est entièrement initialisé, VERS LE HAUT DE, et s'exécuter :
ASA5525# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5525
Hardware version: N/A
Serial Number: FCH1719J54R
Firmware version: N/A
Software version: 6.1.0-330
MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.1.0-330
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.75.123
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.75.23
Mgmt web ports: 443
Mgmt TLS enabled: true
A5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show version
--------------------[ FP5525-3 ]--------------------
Model : ASA5525 (72) Version 6.1.0 (Build 330)
UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3
Rules update version : 2016-03-28-001-vrt
VDB version : 270
----------------------------------------------------
>
Dépannage recommandé
- Vérifiez la sortie de la commande de console de log de sfr de show module pour des erreurs ou des pannes.
Vérification 3
Vérifiez la Connectivité de base entre l'hôte ASDM et l'IP de Gestion de module de FirePOWER avec des commandes telles que le ping et le tracert/traceroute :

Dépannage recommandé
- Routage de contrôle le long du chemin.
- Vérifiez qu'il n'y a aucun périphérique dans le chemin qui bloquent le trafic.
Vérification 4
Si l'hôte ASDM et l'adresse IP de Gestion de FirePOWER sont dans le même réseau de la couche 3, vérifiez la table de Protocole ARP (Address Resolution Protocol) sur l'hôte ASDM :

Dépannage recommandé
- S'il n'y a aucune entrée d'ARP, employez Wireshark afin de vérifier la transmission d'ARP. Assurez que les adresses MAC des paquets sont correctes.
- S'il y a des entrées d'ARP, assurez qu'ils sont corrects.
Vérification 5
Activez la capture sur le périphérique ASDM tandis que vous vous connectez par l'intermédiaire de l'ASDM afin de voir s'il y a transmission appropriée de TCP entre l'hôte et le module de FirePOWER. Au minimum, vous devriez voir :
- Prise de contact à trois voies de TCP entre l'hôte ASDM et l'ASA.
- Tunnel SSL établi entre l'hôte ASDM et l'ASA.
- Prise de contact à trois voies de TCP entre l'hôte ASDM et l'adresse IP de Gestion de module de FirePOWER.
- Tunnel SSL établi entre l'hôte ASDM et l'adresse IP de Gestion de module de FirePOWER.
Dépannage recommandé
- Si la prise de contact à trois voies de TCP échoue, assurez-vous qu'il n'y a pas le trafic ou des périphériques asymétriques dans le chemin qui bloquent les paquets TCP.
- Si le SSL échoue, vérifiez s'il n'y a aucun périphérique dans faire de chemin homme-dans-le-moyen (MITM) (l'émetteur de certificat de serveur donnera un signe pour ceci).
Vérification 6
Afin de vérifier le trafic à et du module de FirePOWER, capture d'enable sur l'interface d'asa_mgmt_plane. Dans la capture, vous pouvez voir :
- Demande d'ARP de l'hôte ASDM (paquet 42).
- Réponse d'ARP du module de FirePOWER (paquet 43).
- Prise de contact à trois voies de TCP entre l'hôte ASDM et le module de FirePOWER (paquets 44-46).
ASA5525# capture FP_MGMT interface asa_mgmt_plane
ASA5525# show capture FP_MGMT | i 192.168.75.123
…
42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391: S 1324352332:1324352332(0) ack 2861923943 win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 7>
46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: . ack 1324352333 win 16695
Dépannage recommandé
- Mêmes que dans la vérification 5.
Vérification 7
Vérifiez que l'utilisateur ASDM a le niveau de privilège 15. Une manière de confirmer ceci est de sélectionner la commande du HTTP 255 de débogage tandis qu'elle se connecte par l'intermédiaire de l'ASDM :
ASA5525# debug http 255
debug http enabled at level 255.
HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444)
HTTP: check admin session. Cookie index [2][c8a06c50]
HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC]
HTTP: Admin session idle-timeout reset
HTTP: admin session verified = [1]
HTTP: username = [user1], privilege = [14]
Dépannage recommandé
- Si le niveau de privilège n'est pas 15, alors essai avec un utilisateur qui a le niveau 15.
Vérification 8
Si entre l'hôte ASDM et le module de FirePOWER il y a traduction d'adddress de réseau (NAT) pour l'adresse IP de Gestion de FirePOWER, alors vous devez spécifier l'adresse IP de NATed :

Dépannage recommandé
- Les captures aux points d'extrémité (ASA/SFR et fin-hôte) confirmeront ceci.
Vérification 9
Assurez-vous que le module de FirePOWER n'est pas déjà géré par FMC, parce que dans cela le cas que FirePOWER tabule dans l'ASDM manquera :
ASA5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show managers
Managed locally.
>
Une autre méthode est avec la commande de détails de sfr de show module :
ASA5525# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5525
Hardware version: N/A
Serial Number: FCH1719J54R
Firmware version: N/A
Software version: 6.1.0-330
MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.1.0-330
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.75.123
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.75.23
Mgmt web ports: 443
Mgmt TLS enabled: true
Dépannage recommandé
Vérification 10
Vérifiez la capture de wireshark afin de s'assurer que le client ASDM se connecte à une version appropriée de TLS (par exemple, TLSv1.2).
Dépannage recommandé
- Accordez les configurations SSL de navigateur.
- Essai avec un autre navigateur.
- Essai d'un autre fin-hôte.
Vérification 11
Vérifiez du guide de compatibilité de Cisco ASA que les images ASA/ASDM sont compatibles.
Dépannage recommandé
- Utilisez une image compatible ASDM.
Vérification 12
Vérifiez du guide de compatibilité de Cisco ASA que le périphérique de FirePOWER est compatible avec la version ASDM.
Dépannage recommandé
- Utilisez une image compatible ASDM.