ASA 5550 - Zrestartować się warto?

13

Mam ASA 5550, który wykonuje obciążenia i operacje (AnyConnect, NAT, ACL, RADIUS itp.). Nie jest szczególnie przeciążony pod względem procesora i pamięci, ale ma czas pracy ponad 3,5 roku.

Ostatnio próbowałem wdrożyć inny tunel IPSEC (za pomocą cryptomap) wraz z regułą zwolnienia NAT, ale ASA wykazuje bardzo dziwne zachowanie. Czasami, gdy dodaję ACE, pojawia się masa tekstu znikąd w polu opisu. Bez względu na to, co robię, moje testy z wbudowanym narzędziem PacketTracer nie dają oczekiwanych rezultatów (na przykład - widzę, że pakiet uderza w regułę Any / Any na dole listy ACL, nawet jeśli jest specjalnie skonfigurowany ACE na górze wspomnianej listy ACL).

W każdym razie pytanie brzmi: czy ktoś kiedykolwiek rozwiązał problem poprzez ponowne uruchomienie ASA? To nie jest moja ulubiona opcja, ale przy bardzo dziwnych zachowaniach, które widzę, rozwiązywanie problemów staje się bezowocne.

cisco-asa BrianK
źródło

Odpowiedzi:

18

Krótka odpowiedź: tak.

Dłuższa odpowiedź: :-) W każdym oprogramowaniu są błędy. Im dłużej działa, tym bardziej prawdopodobne jest, że skonfigurujesz sklep w twojej sieci. Co więcej, im dłużej nie ma go ponownie, tym więcej fragmentów „starej” konfiguracji i / lub statusu pozostanie. W no interface foosystemie iOS wyświetli ostrzeżenie, że nie jest całkowicie zniszczony, a elementy konfiguracji mogą pojawić się ponownie, jeśli odtworzysz interfejs - nie powinno się to zdarzyć w ASA, ale w rzadkich przypadkach tak się dzieje. Widziałem także wpisy phantom NAT po usunięciu ich z konfiguracji. (ten faktycznie jest błędem)

Gdy mam do czynienia z IPSec / crypto, odkryłem, że wiele szaleństw można usunąć reload. W jednym przypadku (pix 6.3.5) nie przywróciłbym tunelu VPN, dopóki tego nie zrobię.

[edytuj] Generalnie słowo o ponownym uruchomieniu komputera: Mam tendencję do restartowania rzeczy tylko po to, aby się upewnić . Zbyt często miałem różne systemy (routery, zapory ogniowe, serwery) działające przez dłuższy czas - ciągle modyfikowane, a kiedy coś kończy się restartowaniem ich (zwykle brak zasilania, ale zdarza się również „ups, zła maszyna”) rzadko wracają dokładnie tak, jak wcześniej ... ktoś zapomniał uruchomić X przy starcie, lub jakieś dziwne interakcje części powodują, że coś nie uruchamia się zgodnie z oczekiwaniami. Przyznaję, że w mniejszym stopniu chodzi o bardziej statyczne części infrastruktury.

Ricky Beam
źródło
1
Świetna odpowiedź i w pełni zgadzam się, że musisz upewnić się, że urządzenia uruchamiają się zgodnie z oczekiwaniami. Zgadzam się również, że przeładowania są czasem konieczne (w rzeczywistości mogą być jedynym wyjściem) i mogą przywrócić usługę szybciej. Właśnie natknąłem się na zbyt wiele przypadków, w których przeładowanie jest postrzegane jako poprawka, a nie krok w celu rozwiązania obecnych objawów. Nie jest przeprowadzana eksploracja przyczyny źródłowej i nie wywiera się nacisku na dostawcę, aby naprawił problem, jeśli występuje on w jego kodzie. Jeszcze gorzej są przypadki, w których się natknąłem, gdzie „przeładowanie co [okres]” jest stałą poprawką, gdy jest aktualizacja kodu z prawdziwą poprawką.
YLearn
7

Zasadniczo nie polecam ponownego uruchamiania jako rozwiązania problemu, chyba że wiesz, że masz do czynienia z błędem, który wprowadza coś takiego jak wyciek pamięci lub przepełnienie pamięci podręcznej.

Czy w przypadku ASA z obrazem co najmniej 3,5 roku sprawdziłeś zestaw narzędzi do usuwania błędów Cisco? Szanse są takie, że wszelkie błędy na platformie zostaną udokumentowane i możesz sprawdzić, czy chcesz je zastosować.

Poleciłbym również otwarcie sprawy TAC, jeśli masz wsparcie.

Ponownie uruchamia się w moim umyśle nad innymi problemami i może bardzo utrudnić (jeśli nie niemożliwe) znalezienie przyczyny. Ostatecznie bez zrozumienia przyczyny, nie wiesz, że coś naprawiłeś i uważam to za bardzo niebezpieczne, szczególnie na platformie „bezpieczeństwa”.

Na przykład może masz lukę w zabezpieczeniach w kodzie wykorzystywanym przez zewnętrzne źródło. Ponowne uruchomienie może przerwać połączenie i złagodzić objawy, ale nie rozwiązuje problemu.

YLearn
źródło
Zgadzam się z tobą w 100%. Oczywiście, niektóre aktualizacje i łatki muszą być wykonane na urządzeniu. Muszę jeszcze przeprowadzić wyszukiwanie zestawu narzędzi, ponieważ zidentyfikowanie tego konkretnego problemu nie jest łatwe - więc od czego zacząć wyszukiwanie? Jednak w celu uzupełnienia braków ta szczególna zmiana będzie tymczasowa, ponieważ trwają prace nad większym projektem przeprojektowania sieci.
BrianK,
1
Wygląda na to, że masz dobre podejście do wszystkiego. TAC nie jest już taki, jak kiedyś, ale zawsze polecam przypadek TAC (jeśli nie jesteś do tego przyzwyczajony, narzędzie do błędów może być dziwaczne). Niech dowiedzą się, jaki to błąd, chociaż może być konieczne popchnięcie ich w tym celu. Po prostu pamiętaj, aby uchwycić jak najwięcej danych przed ponownym uruchomieniem komputera, ponieważ niektóre dane zostaną utracone (uruchomione procesy, użycie pamięci itp.). „Show tech” powinien uzyskać większość tego, czego potrzebujesz na platformie Cisco.
YLearn
3

Jak wspomniano, zarządzanie ryzykiem i zarządzanie podatnością powinny być twoimi obawami. Powiedziałbym, że istnieje co najmniej 10-20 znanych luk w zabezpieczeniach twojej wersji oprogramowania ASA, przy założeniu, że masz zainstalowane najnowsze oprogramowanie w czasie reprezentowanym przez uptime.

Link Tools.cisco.com, z wulgaryzmami z ostatniego roku (niektóre nie są istotne, ale to powinno dać dobry pomysł)

Niektóre inne narzędzia, które mogą ci pomóc:

  • Cisco Security IntelliShield Alert Manager - sprawdź, czy zasoby sieciowe, sprzętowe i programowe są podatne na nowe i istniejące zagrożenia

  • Cisco IOS Software Checker . Nie wiem, czy jest coś podobnego do ASA, ale może ktoś mógłby się do niego włączyć?

  • Audyt konfiguracji routera: RedSeal może obejmować sprawdzanie wersji (minęło kilka lat, od kiedy z nim korzystałem), a także wiele innych narzędzi bezpieczeństwa dla sieci

  • Zarządzanie podatnościami: Nessus ma wersje społecznościowe i komercyjne, a także istnieje wiele innych podobnych programów

lunistorvalds
źródło
2

Ostatnio napotkałem podobne problemy z ASA działającym w wersji 8.2 (2) 16 z czasem pracy wynoszącym ~ 2,5 roku, przez co grupy obiektów określone w listach ACL map kryptograficznych nie były dopasowane. Dodanie instrukcji ACL, którą już objęła grupa obiektów, spowodowało dopasowanie interesującego ruchu. Bardzo frustrujące.

Kolega powiedział, że widzieli to zachowanie wcześniej i że przeładowanie rozwiązało to w tym przypadku.

Big Perm
źródło
0

Kiedy mówisz, że podczas dodawania wpisów ACE pojawia się ładunek „losowego” tekstu, czy ręcznie wpisujesz te wpisy lub wklejasz je z innego źródła (np. Notatnika).

Wcześniej widziałem problemy, w przypadku których jeśli wklejasz wiele linii do urządzenia, może zostać przeciążone i występuje pewne uszkodzenie, wklejenie mniej linii zwykle to naprawia lub użycie funkcji w twoim programie terminalowym do „wklejania wolnego”, aby pozwolić na małe przerwa czasowa między każdą linią.

David Rothera
źródło
Ręcznie tworzę nowe ACE za pośrednictwem ASDM. Jeśli reguła zawiera określoną sieć źródłową (czy używam obiektu sieciowego, obiektu grupowego, czy po prostu wpisuję podsieć), pojawi się ACE z około 30 wierszami opisu. Tekst nie jest całkowicie „przypadkowy”, wydaje się, że był to komentarz, który został użyty gdzieś w ACE… Ale ja nigdy nie
wpisałem