ASA 5550 - Riavvio Vale la pena?

13

Ho un ASA 5550 che sta eseguendo un sacco di operazioni (AnyConnect, NAT, ACL, RADIUS, ecc, ecc.). Non è particolarmente sovraccarico in termini di CPU e memoria, ma ha un tempo di attività di oltre 3,5 anni.

Ultimamente ho tentato di distribuire un altro tunnel IPSEC (tramite cryptomap) insieme a una regola NAT Exempt, ma l'ASA mostra un comportamento molto strano. A volte, quando aggiungo ACE, nel campo della descrizione viene visualizzata una massa di testo dal nulla. Indipendentemente da ciò che faccio, i miei test con lo strumento PacketTracer incorporato non producono i risultati che mi aspetto (ad esempio, vedo il pacchetto colpire la regola Any / Any nella parte inferiore dell'ACL, anche se esiste una configurazione specifica ACE nella parte superiore di detto ACL).

Comunque, la domanda è questa: qualcuno ha mai risolto qualcosa riavviando un ASA? Non è la mia opzione preferita, ma con i comportamenti molto strani che vedo la risoluzione dei problemi sta diventando inutile.

cisco-asa 
BrianK
fonte

Risposte:

18

Risposta breve: Sì.

Risposta più lunga: :-) Ci sono bug in ogni pezzo di software. Più dura, più è probabile che si configuri il negozio nella rete. Ma più precisamente, più a lungo è passato senza riavvio, più piccoli frammenti di configurazione e / o stato "vecchi" rimarranno persistenti. In IOS, no interface fooverrà emesso un avviso che non è completamente distrutto e gli elementi di configurazione potrebbero riapparire se si ricrea l'interfaccia - non dovrebbe accadere in un ASA ma in rari casi, lo fa. Ho anche visto voci NAT fantasma dopo averle cancellate dalla configurazione. (quello in realtà è un bug)

Quando ho a che fare con IPSec / crypto, ho scoperto che molti pazzi possono essere chiariti da a reload. In un caso (pix 6.3.5) non ripristinerebbe un tunnel VPN fino a quando non lo avessi fatto.

[modifica] Una parola sui riavvi in ​​generale: tendo a riavviare le cose solo per assicurarmi che lo facciano . Troppo spesso ho avuto vari sistemi (router, firewall, server) in esecuzione per periodi prolungati - costantemente modificati, e quando qualcosa finisce per riavviarli (di solito un'interruzione di corrente, ma succede anche "oops, macchina sbagliata") raramente ritorna esattamente come prima ... qualcuno ha dimenticato di far partire X all'avvio, o qualche strana interazione delle parti rende qualcosa che non si avvia come previsto. Lo ammetto, è meno preoccupante per le parti più statiche della propria infrastruttura.

Ricky Beam
fonte
1
Ottima risposta, e sono pienamente d'accordo che è necessario assicurarsi che i dispositivi vengano avviati come previsto. Concordo anche sul fatto che a volte sono necessarie ricariche (in effetti, potrebbe essere l'unica risorsa) e possono ripristinare il servizio più rapidamente. Ho appena incontrato troppi casi in cui un ricaricamento è percepito come la correzione piuttosto che un passo per risolvere i sintomi attuali. Non viene eseguita alcuna esplorazione della causa principale e non viene esercitata alcuna pressione sul fornitore per risolvere il problema se si trova nel loro codice. Ancora peggio sono i casi in cui mi sono imbattuto in cui "una ricarica ogni [punto]" è la correzione permanente, quando c'è un aggiornamento del codice con una correzione reale.
Impara
7

In generale, non raccomando un riavvio come risoluzione di un problema a meno che tu non sappia che hai a che fare con un bug che introduce qualcosa come una perdita di memoria o una condizione di overflow della cache.

Con un ASA che esegue un'immagine di almeno 3,5 anni, hai controllato il toolkit di bug Cisco? Le probabilità sono che eventuali bug nella piattaforma saranno documentati e puoi vedere se qualsiasi aspetto si applica.

Vorrei anche raccomandare di aprire un caso TAC se si dispone di supporto.

I riavvii nella mia mente riflettono su altri problemi e possono rendere molto difficile (se non impossibile) trovare la causa principale. Alla fine, senza capire la causa principale, non sai di aver risolto nulla e lo trovo molto pericoloso, specialmente su una piattaforma di "sicurezza".

Ad esempio, forse hai una vulnerabilità di sicurezza nel codice che viene sfruttata da una fonte esterna. Sebbene il riavvio possa interrompere la connessione e alleviare i sintomi, non risolve il problema.

YImparare
fonte
Sono d'accordo con te al 100%. Ovviamente, alcuni aggiornamenti e patch devono essere eseguiti sul dispositivo. Devo ancora fare una ricerca di bug toolkit, perché identificare questo particolare problema non è una cosa facile da fare, quindi da dove inizi la ricerca? Ma, per colmare le lacune, questo particolare cambiamento sarà temporaneo, poiché è in corso un progetto più ampio per ridisegnare la rete.
BrianK,
1
Sembra che tu abbia una buona posizione sulle cose. TAC non è più quello di una volta, ma consiglio sempre un caso TAC (se non ci sei abituato, lo strumento bug può essere bizzarro). Lascia che scoprano quale bug è, anche se potresti doverli spingere per farlo. Assicurati solo di acquisire quanti più dati possibile prima del riavvio, in quanto alcuni dettagli andranno persi (processi in esecuzione, utilizzo della memoria, ecc.). Uno "spettacolo tecnologico" dovrebbe ottenere la maggior parte di ciò di cui hai bisogno su una piattaforma Cisco.
Impara
3

Come accennato, la gestione dei rischi e la gestione delle vulnerabilità dovrebbero essere le tue preoccupazioni. Direi che ci sono almeno 10-20 vulnerabilità note per la tua versione del software ASA, supponendo che tu abbia installato l'ultimo firmware installato al momento rappresentato dal tempo di attività.

Link Tools.cisco.com, con vulns per l'anno passato (alcuni non sono rilevanti, ma questo dovrebbe darti una buona idea)

Alcuni altri strumenti che potrebbero aiutarti:

  • Cisco Security IntelliShield Alert Manager : determina se le risorse di rete, hardware e software sono vulnerabili alle minacce nuove ed esistenti

  • Cisco IOS Software Checker . Non so se c'è qualcosa di simile per l'ASA, ma forse qualcuno potrebbe entrare?

  • Controllo della configurazione del router: RedSeal può includere controlli della versione (sono passati diversi anni da quando l'ho usato con esso), così come molti altri strumenti di sicurezza per le reti

  • Gestione delle vulnerabilità: Nessus ha versioni comunitarie e commerciali e ci sono molti altri software come questo là fuori

lunistorvalds
fonte
2

Di recente ho riscontrato problemi simili da un ASA che esegue 8.2 (2) 16 con un tempo di attività di circa 2,5 anni, per cui i gruppi di oggetti specificati nelle ACL di cripto-mappa non venivano abbinati. L'aggiunta di un'istruzione ACL che il gruppo di oggetti comprendeva già causava la corrispondenza di traffico interessante. Molto frustrante.

Un collega ha informato di aver già visto questo comportamento in precedenza e che una ricarica lo ha risolto in quel caso.

Grande Perm
fonte
0

Quando dici che appare un carico di testo 'casuale' quando aggiungi ACE, stai digitando manualmente questi ACE o li stai incollando da qualche altra fonte (come il blocco note).

Ho già visto problemi in cui se si incollano molte linee in un dispositivo può essere sovraccarico e si verifica un po 'di corruzione, incollare meno linee di solito lo risolve o utilizzare una funzione sul programma terminale per "incollare lentamente" per consentire un piccolo intervallo di tempo tra ogni riga.

David Rothera
fonte
Sto creando manualmente un nuovo ACE tramite ASDM. Se la regola contiene una particolare rete di origine (se utilizzo l'oggetto di rete, un oggetto di gruppo o semplicemente digito la sottorete), l'ACE appare con circa 30 righe di descrizione. Il testo non è completamente "casuale", sembra essere un commento usato una volta, su un ACE da qualche parte ... Ma non l'ho mai digitato tutto in ...
BrianK,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.