Use o ASDM para controlar um módulo de FirePOWER em um ASA
Índice
Introdução
Este documento descreve como o software adaptável do Security Device Manager (ASDM) se comunica com a ferramenta de segurança adaptável (ASA) e um módulo de software de FirePOWER instalado nele.
Um módulo de FirePOWER que seja instalado em um ASA pode ser controlado por qualquer um:
- Centro de gerenciamento de FirePOWER (FMC) - Esta é a solução de gerenciamento da fora-caixa.
- ASDM - Esta é a solução de gerenciamento da em-caixa.
Pré-requisitos
Requisitos
Uma configuração ASA para permitir o Gerenciamento ASDM:
ASA5525(config)# interface GigabitEthernet0/0 ASA5525(config-if)# nameif INSIDE ASA5525(config-if)# security-level 100 ASA5525(config-if)# ip address 192.168.75.23 255.255.255.0 ASA5525(config-if)# no shutdown ASA5525(config)# ASA5525(config)# http server enable ASA5525(config)# http 192.168.75.0 255.255.255.0 INSIDE ASA5525(config)# asdm image disk0:/asdm-762150.bin ASA5525(config)# ASA5525(config)# aaa authentication http console LOCAL ASA5525(config)# username cisco password cisco
Verifique a compatibilidade entre o módulo ASA/SFR, se não as abas de FirePOWER não serão consideradas.
Adicionalmente, no ASA a licença 3DES/AES deve ser permitida:
ASA5525# show version | in 3DES Encryption-3DES-AES : Enabled perpetual
Assegure-se de que o sistema de cliente ASDM execute uma versão suportada das Javas JRE.
Componentes Utilizados
- Um host de Microsoft Windows 7
- ASA5525-X que executa a versão ASA 9.6(2.3)
- Versão 7.6.2.150 ASDM
- Módulo de software 6.1.0-330 de FirePOWER
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Arquitetura
O ASA tem três interfaces internas:
- asa_dataplane - É usado para reorientar pacotes do trajeto de dados ASA ao módulo de software de FirePOWER.
- asa_mgmt_plane - É usado para permitir que a interface de gerenciamento de FirePOWER comunique-se com a rede.
- cplane - Controle a relação plana que é usada para transferir o Keepalives entre o ASA e o módulo de FirePOWER.
Você pode capturar o tráfego em todas as interfaces internas:
ASA5525# capture CAP interface ? asa_dataplane Capture packets on dataplane interface asa_mgmt_plane Capture packets on managementplane interface cplane Capture packets on controlplane interface
Isto pode ser visualizado como segue:
Operação de fundo quando um usuário conectar a um ASA através do ASDM
Considere esta topologia:
Quando um usuário inicia uma conexão ASDM ao ASA, estes eventos ocorrerão:
Etapa 1 - O usuário inicia a conexão ASDM
O usuário especifica o endereço IP de Um ou Mais Servidores Cisco ICM NT ASA usado para o Gerenciamento HTTP, incorpora as credenciais, e inicia uma conexão para o ASA:
No fundo, um túnel SSL entre o ASDM e o ASA é estabelecido:
Isto pode ser visualizado como segue:
Etapa 2 - O ASDM descobre a configuração ASA e o endereço IP de Um ou Mais Servidores Cisco ICM NT do módulo de FirePOWER
Incorpore o comando HTTP 255 debugar no ASA a fim mostrar todas as verificações que estão feitas no fundo quando o ASDM conecta ao ASA:
ASA5525# debug http 255 … HTTP: processing ASDM request [/admin/exec/show+module] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+interface-mode] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+interface-mode' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+cluster+info] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+cluster+info' from host 192.168.75.22 HTTP: processing ASDM request [/admin/exec/show+module+sfr+details] with cookie-based authentication HTTP: processing GET URL '/admin/exec/show+module+sfr+details' from host 192.168.75.22
- módulo show - O ASDM descobre os módulos ASA.
- detalhes do sfr do módulo show - O ASDM descobre os detalhes do módulo, que incluem o endereço IP de gerenciamento de FirePOWER.
Estes serão vistos no fundo como uma série de conexões SSL do PC para o endereço IP de Um ou Mais Servidores Cisco ICM NT ASA:
Etapa 3 - O ASDM inicia uma comunicação para o módulo de FirePOWER
Desde que o ASDM conhece o endereço IP de gerenciamento de FirePOWER, inicia sessões de SSL para o módulo:
Isto será visto no fundo como conexões SSL do host ASDM para o endereço IP de gerenciamento de FirePOWER:
Isto pode ser visualizado como segue:
O ASDM autentica FirePOWER e um aviso da Segurança é mostrado desde que o certificado de FirePOWER auto-é assinado:
Etapa 4 - O ASDM recupera os itens de menu de FirePOWER
Após a autenticação bem sucedida, o ASDM recupera os itens de menu do dispositivo de FirePOWER:
As abas recuperadas são mostradas neste exemplo:
Igualmente recupera o artigo de menu de configuração ASA FirePOWER:
Troubleshooting
Caso que o ASDM não pode estabelecer um túnel SSL com o endereço IP de gerenciamento de FirePOWER, a seguir carregará somente este item de menu de FirePOWER:
O item de configuração ASA FirePOWER faltará também:
Verificação 1
Certifique-se de que a interface de gerenciamento ASA é ASCENDENTE e o switchport conectado a ele está no VLAN apropriado:
ASA5525# show interface ip brief | include Interface|Management0/0 Interface IP-Address OK? Method Status Protocol Management0/0 unassigned YES unset up up
Pesquisa de defeitos recomendada
- Ajuste o VLAN apropriado.
- Traga a porta ACIMA (verifique o cabo, verifique a configuração de switchport (velocidade/duplex/fechado)).
Verificação 2
Certifique-se de que o módulo de FirePOWER está inicializado inteiramente, ACIMA DE, e ser executado:
ASA5525# show module sfr details Getting details from the Service Module, please wait... Card Type: FirePOWER Services Software Module Model: ASA5525 Hardware version: N/A Serial Number: FCH1719J54R Firmware version: N/A Software version: 6.1.0-330 MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2 App. name: ASA FirePOWER App. Status: Up App. Status Desc: Normal Operation App. version: 6.1.0-330 Data Plane Status: Up Console session: Ready Status: Up DC addr: No DC Configured Mgmt IP addr: 192.168.75.123 Mgmt Network mask: 255.255.255.0 Mgmt Gateway: 192.168.75.23 Mgmt web ports: 443 Mgmt TLS enabled: true
A5525# session sfr console Opening console session with module sfr. Connected to module sfr. Escape character sequence is 'CTRL-^X'. > show version --------------------[ FP5525-3 ]-------------------- Model : ASA5525 (72) Version 6.1.0 (Build 330) UUID : 71fd1be4-7641-11e6-87e4-d6ca846264e3 Rules update version : 2016-03-28-001-vrt VDB version : 270 ---------------------------------------------------- >
Pesquisa de defeitos recomendada
- Verifique a saída do comando console do log do sfr do módulo show para ver se há erros ou falhas.
Verificação 3
Verifique a conectividade básica entre o host ASDM e o IP de gerenciamento do módulo de FirePOWER com comandos tais como o sibilo e o tracert/traceroute:
Pesquisa de defeitos recomendada
- Verifique o roteamento ao longo do trajeto.
- Verifique que não há nenhum dispositivo no trajeto que obstrui o tráfego.
Verificação 4
Se o host ASDM e o endereço IP de gerenciamento de FirePOWER estão na mesma rede da camada 3, verifique a tabela do Address Resolution Protocol (ARP) no host ASDM:
Pesquisa de defeitos recomendada
- Se não há nenhuma entrada de ARP, use Wireshark a fim verificar a comunicação ARP. Assegure-se de que os endereços MAC dos pacotes estejam corretos.
- Se há umas entradas de ARP, assegure-se de que estejam corretos.
Verificação 5
Permita a captação no dispositivo ASDM quando você conectar através do ASDM a fim ver se há uma comunicação TCP apropriada entre o host e o módulo de FirePOWER. Pelo menos, você deve ver:
- Aperto de mão da 3-maneira TCP entre o host ASDM e o ASA.
- Túnel SSL estabelecido entre o host ASDM e o ASA.
- Aperto de mão da 3-maneira TCP entre o host ASDM e o endereço IP de gerenciamento do módulo de FirePOWER.
- Túnel SSL estabelecido entre o host ASDM e o endereço IP de gerenciamento do módulo de FirePOWER.
Pesquisa de defeitos recomendada
- Se o aperto de mão da 3-maneira TCP falha, assegure-se de que não haja um tráfego assimétrico ou uns dispositivos no trajeto que obstruam os pacotes de TCP.
- Se o SSL falha, verifique se não há nenhum dispositivo em fazer do trajeto homem-em--médio (MITM) (o expedidor do certificado de servidor dará uma sugestão para este).
Verificação 6
A fim verificar o tráfego a e do módulo de FirePOWER, permita a captação na relação do asa_mgmt_plane. Na captação, você pode ver:
- Requisição ARP do host ASDM (pacote 42).
- Resposta ARP do módulo de FirePOWER (pacote 43).
- Aperto de mão da 3-maneira TCP entre o host ASDM e o módulo de FirePOWER (pacotes 44-46).
ASA5525# capture FP_MGMT interface asa_mgmt_plane
ASA5525# show capture FP_MGMT | i 192.168.75.123
…
42: 20:27:28.532076 arp who-has 192.168.75.123 tell 192.168.75.22
43: 20:27:28.532153 arp reply 192.168.75.123 is-at 6c:41:6a:a1:2b:f2
44: 20:27:28.532473 192.168.75.22.48391 > 192.168.75.123.443: S 2861923942:2861923942(0) win 8192 <mss 1260,nop,wscale 2,nop,nop,sackOK>
45: 20:27:28.532549 192.168.75.123.443 > 192.168.75.22.48391: S 1324352332:1324352332(0) ack 2861923943 win 14600 <mss 1460,nop,nop,sackOK,nop,wscale 7>
46: 20:27:28.532839 192.168.75.22.48391 > 192.168.75.123.443: . ack 1324352333 win 16695
Pesquisa de defeitos recomendada
- Mesmos que na verificação 5.
Verificação 7
Verifique que o usuário ASDM tem o nível de privilégio 15. Uma maneira de confirmar isto é incorporar o comando HTTP 255 debugar quando conectar através do ASDM:
ASA5525# debug http 255
debug http enabled at level 255.
HTTP: processing ASDM request [/admin/asdm_banner] with cookie-based authentication (aware_webvpn_conf.re2c:444)
HTTP: check admin session. Cookie index [2][c8a06c50]
HTTP: Admin session cookie [A27614B@20480@78CF@58989AACB80CE5159544A1B3EE62661F99D475DC]
HTTP: Admin session idle-timeout reset
HTTP: admin session verified = [1]
HTTP: username = [user1], privilege = [14]
Pesquisa de defeitos recomendada
- Se o nível de privilégio não é 15, a seguir tentativa com um usuário que tenha o nível 15.
Verificação 8
Se entre o host ASDM e o módulo de FirePOWER há a tradução dos adddress da rede (NAT) para o endereço IP de gerenciamento de FirePOWER, a seguir você precisa de especificar o endereço IP de Um ou Mais Servidores Cisco ICM NT do NATed:
Pesquisa de defeitos recomendada
- As captações nos pontos finais (ASA/SFR e host final) confirmarão esta.
Verificação 9
Certifique-se de que o módulo de FirePOWER não está controlado já por FMC, porque nesse caso que FirePOWER cataloga no ASDM falte:
ASA5525# session sfr console
Opening console session with module sfr.
Connected to module sfr. Escape character sequence is 'CTRL-^X'.
> show managers
Managed locally.
>
Um outro método é com o comando dos detalhes do sfr do módulo show:
ASA5525# show module sfr details
Getting details from the Service Module, please wait...
Card Type: FirePOWER Services Software Module
Model: ASA5525
Hardware version: N/A
Serial Number: FCH1719J54R
Firmware version: N/A
Software version: 6.1.0-330
MAC Address Range: 6c41.6aa1.2bf2 to 6c41.6aa1.2bf2
App. name: ASA FirePOWER
App. Status: Up
App. Status Desc: Normal Operation
App. version: 6.1.0-330
Data Plane Status: Up
Console session: Ready
Status: Up
DC addr: No DC Configured
Mgmt IP addr: 192.168.75.123
Mgmt Network mask: 255.255.255.0
Mgmt Gateway: 192.168.75.23
Mgmt web ports: 443
Mgmt TLS enabled: true
Pesquisa de defeitos recomendada
- Se o dispositivo é controlado já, você precisa de remover-lo registro antes que você o controle do ASDM. Veja o manual de configuração do centro de gerenciamento de FirePOWER.
Verificação 10
Verifique a captação do wireshark a fim assegurar-se de que o cliente ASDM conecte com uma versão TLS apropriada (por exemplo, TLSv1.2).
Pesquisa de defeitos recomendada
- Ajuste os ajustes do navegador SSL.
- Tente com um outro navegador.
- Tente de um outro host final.
Verificação 11
Verifique no guia da compatibilidade de Cisco ASA que as imagens ASA/ASDM são compatíveis.
Pesquisa de defeitos recomendada
- Use uma imagem ASDM compatível.
Verificação 12
Verifique no guia da compatibilidade de Cisco ASA que o dispositivo de FirePOWER é compatível com a versão ASDM.
Pesquisa de defeitos recomendada
- Use uma imagem ASDM compatível.
Informações Relacionadas
- Guia de início rápido do módulo de Cisco ASA FirePOWER
- ASA com o manual de configuração do gerenciamento local dos serviços de FirePOWER, versão 6.1.0
- Guia do Usuário do módulo ASA FirePOWER para o ASA5506-X, o ASA5506H-X, o ASA5506W-X, o ASA5508-X, e o ASA5516-X, versão 5.4.1
- Suporte Técnico e Documentação - Cisco Systems
FeedbackContate a Cisco
- Abrir um caso de suporte
- (É necessário um Contrato de Serviço da Cisco)