ASA 5550 - Neustart lohnt sich?

13

Ich habe einen ASA 5550, der viele Vorgänge ausführt (AnyConnect, NAT, ACL, RADIUS usw. usw.). Es ist nicht besonders stark in Bezug auf CPU und Arbeitsspeicher überlastet, hat aber eine Betriebszeit von über 3,5 Jahren.

In letzter Zeit habe ich versucht, einen anderen IPSEC-Tunnel (über Cryptomap) zusammen mit einer NAT-Ausnahmeregel bereitzustellen, aber der ASA zeigt ein sehr merkwürdiges Verhalten. Wenn ich ACEs hinzufüge, taucht manchmal eine Menge Text aus dem Nichts im Beschreibungsfeld auf. Unabhängig davon, was ich mache, führen meine Tests mit dem integrierten PacketTracer-Tool nicht zu den erwarteten Ergebnissen (Beispiel: Ich sehe, dass das Paket die Any / Any-Regel unten in der ACL erfüllt, obwohl eine speziell konfigurierte vorhanden ist ACE oben in der ACL).

Wie auch immer, die Frage ist: Hat jemand jemals etwas durch einen Neustart einer ASA gelöst? Es ist nicht meine Lieblingsoption, aber mit den sehr seltsamen Verhaltensweisen sehe ich, dass die Fehlerbehebung erfolglos wird.

cisco-asa BrianK
quelle

Antworten:

18

Kurze Antwort: Ja.

Längere Antwort: :-) Es gibt Fehler in jeder Software. Je länger es läuft, desto wahrscheinlicher wird man den Shop in Ihrem Netzwerk einrichten. Je länger es ohne Neustart ist, desto mehr "alte" Konfigurationen und / oder Status bleiben erhalten. In IOS no interface foowird eine Warnung ausgegeben, dass es nicht vollständig zerstört ist, und Konfigurationselemente werden möglicherweise erneut angezeigt, wenn Sie die Schnittstelle neu erstellen. Dies sollte in einem ASA nicht geschehen, ist jedoch in seltenen Fällen der Fall. Ich habe auch Phantom-NAT-Einträge gesehen, nachdem ich sie aus der Konfiguration gelöscht habe. (das ist eigentlich ein Bug)

Beim Umgang mit IPSec / Krypto habe ich festgestellt, dass eine ganze Menge verrückter Dinge durch a aufgeklärt werden können reload. In einem Fall (pix 6.3.5) würde es keinen VPN-Tunnel wiederherstellen, bis ich es tat.

[Bearbeiten] Ein Wort zu Neustarts im Allgemeinen: Ich neige dazu, Dinge neu zu starten, nur um sicherzugehen, dass sie es tun . Allzu oft habe ich verschiedene Systeme (Router, Firewalls, Server) über einen längeren Zeitraum laufen lassen - diese wurden ständig modifiziert, und wenn sie irgendwann neu gestartet wurden (normalerweise ein Stromausfall, aber "Ups, falsche Maschine" passiert auch) Komme selten genau so wieder, wie sie vorher waren ... Jemand hat vergessen, X beim Booten zu starten, oder ein seltsames Zusammenspiel von Teilen lässt etwas nicht wie erwartet starten. Ich gebe zu, es geht weniger um statischere Teile der eigenen Infrastruktur.

Ricky Beam
quelle
1
Gute Antwort, und ich stimme voll und ganz zu, dass Sie sicherstellen müssen, dass Ihre Geräte wie erwartet starten. Ich bin auch damit einverstanden, dass manchmal Nachladevorgänge erforderlich sind (in der Tat kann dies der einzige Rückgriff sein) und dass der Service schneller wiederhergestellt werden kann. Ich bin gerade in zu viele Fälle geraten, in denen ein Nachladen eher als Korrektur als als ein Schritt zur Lösung der aktuellen Symptome empfunden wird. Es wird keine Untersuchung der Grundursache durchgeführt, und es wird kein Druck auf den Anbieter ausgeübt, um das Problem zu beheben, wenn es in seinem Code enthalten ist. Noch schlimmer sind die Fälle, in denen "ein Reload alle [Punkte]" der Fix ist, wenn es ein Code-Upgrade mit einem echten Fix gibt.
YLearn
7

Im Allgemeinen empfehle ich keinen Neustart als Lösung für ein Problem, es sei denn, Sie wissen, dass es sich um einen Fehler handelt, der zu einem Speicherverlust oder einem Cache-Überlauf führt.

Haben Sie bei einem ASA mit einem Image, das mindestens 3,5 Jahre alt ist, das Cisco-Bug-Toolkit überprüft? Wahrscheinlich werden alle Fehler auf der Plattform dokumentiert und Sie können sehen, ob sie zutreffen.

Ich würde auch empfehlen, einen TAC-Fall zu eröffnen, wenn Sie Unterstützung haben.

Neustarts in meinem Kopf beschönigen andere Probleme und können es sehr schwierig (wenn nicht unmöglich) machen, die Ursache zu finden. Letztendlich wissen Sie nicht, dass Sie irgendetwas behoben haben, ohne die eigentliche Ursache zu verstehen, und das finde ich sehr gefährlich, insbesondere auf einer "Sicherheits" -Plattform.

Möglicherweise liegt eine Sicherheitslücke im Code vor, die von einer externen Quelle ausgenutzt wird. Während der Neustart die Verbindung unterbricht und die Symptome lindert, kann das Problem nicht behoben werden.

YLearn
quelle
Ich stimme dir zu 100% zu. Natürlich müssen einige Updates und Patches auf dem Gerät durchgeführt werden. Ich habe noch keine Bug-Toolkit-Suche durchgeführt, da es nicht einfach ist, dieses spezielle Problem zu identifizieren. Wo fangen Sie mit der Suche an? Um diese Lücken zu schließen, wird diese spezielle Änderung nur vorübergehend sein, da ein größeres Projekt zur Neugestaltung des Netzwerks im Gange ist.
BrianK
1
Klingt so, als hättest du eine gute Einstellung zu Dingen. TAC ist nicht mehr das, was es früher war, aber ich empfehle immer einen TAC-Fall (wenn Sie nicht daran gewöhnt sind, kann das Bug-Tool skurril sein). Lassen Sie sie herausfinden, um welchen Fehler es sich handelt, obwohl Sie sie möglicherweise dazu drängen müssen. Stellen Sie einfach sicher, dass Sie vor dem Neustart so viele Daten wie möglich erfassen, da einige Details verloren gehen (laufende Prozesse, Speichernutzung usw.). Ein "Show-Tech" sollte das meiste bekommen, was Sie auf einer Cisco-Plattform benötigen.
YLearn
3

Wie bereits erwähnt, sollten Risikomanagement und Schwachstellenmanagement Ihre Anliegen sein. Ich würde sagen, dass es mindestens 10-20 bekannte Sicherheitslücken für Ihre ASA-Softwareversion gibt, vorausgesetzt, Sie hatten die neueste Firmware zum angegebenen Zeitpunkt installiert.

Tools.cisco.com Link, mit Vulns für das vergangene Jahr (einige sind nicht relevant, aber dies sollte Ihnen eine gute Idee geben)

Einige andere Tools, die Ihnen helfen können:

  • Cisco Security IntelliShield Alert Manager - Bestimmen Sie, ob Netzwerk-, Hardware- und Software-Assets für neue und vorhandene Bedrohungen anfällig sind

  • Cisco IOS Software Checker . Ich weiß nicht, ob es für die ASA etwas Ähnliches gibt, aber vielleicht könnte sich jemand melden?

  • Routerkonfigurationsüberwachung: RedSeal kann Versionsüberprüfungen (seitdem habe ich einige Jahre damit gearbeitet) sowie zahlreiche andere Sicherheitstools für Netzwerke umfassen

  • Vulnerability Management: Nessus verfügt über Community- und kommerzielle Versionen, und es gibt eine Menge anderer Software wie diese

Lunistorvalds
quelle
2

Ich habe kürzlich ähnliche Probleme mit einem ASA festgestellt, auf dem 8.2 (2) 16 mit einer Betriebszeit von ca. 2,5 Jahren ausgeführt wird, wobei in Crypto Map-ACLs angegebene Objektgruppen nicht abgeglichen wurden. Das Hinzufügen einer ACL-Anweisung, die die Objektgruppe bereits umfasste, bewirkte, dass der interessante Datenverkehr abgeglichen wurde. Sehr frustrierend.

Ein Kollege teilte mit, dass er dieses Verhalten bereits zuvor gesehen habe und dass es in diesem Fall durch ein erneutes Laden behoben worden sei.

Big Perm
quelle
0

Wenn Sie sagen, dass beim Hinzufügen von ACEs 'zufälliger' Text angezeigt wird, tippen Sie diese ACEs manuell ein oder fügen sie aus einer anderen Quelle (z. B. aus dem Editor) ein.

Ich habe zuvor Probleme gesehen, bei denen das Einfügen vieler Zeilen in ein Gerät zu einer Überlastung und zu Beschädigungen führen kann. In der Regel wird das Problem durch das Einfügen weniger Zeilen behoben Zeitlücke zwischen jeder Zeile.

David Rothera
quelle
Ich erstelle manuell einen neuen ACE über ASDM. Wenn die Regel ein bestimmtes Quellnetzwerk enthält (unabhängig davon, ob ich das Netzwerkobjekt oder ein Gruppenobjekt verwende oder einfach das Subnetz eingebe), wird der ACE mit etwa 30 Beschreibungszeilen angezeigt. Der Text ist nicht ganz "zufällig", es scheint sich um Kommentare zu handeln, die einmal verwendet wurden, irgendwo auf einem ACE ... Aber ich habe noch nie alles eingetippt ...
BrianK