ASA 5550 - ¿Reiniciar vale la pena?

13

Tengo un ASA 5550 que realiza cargas y cargas de operaciones (AnyConnect, NAT, ACL, RADIUS, etc., etc.). No está particularmente sobrecargado en términos de CPU y memoria, pero tiene un tiempo de actividad de más de 3.5 años.

Últimamente he estado intentando implementar otro túnel IPSEC (a través de cryptomap) junto con una regla Exento de NAT, pero el ASA está exhibiendo un comportamiento muy extraño. A veces, cuando agrego ACE, aparece una masa de texto de la nada en el campo de descripción. No importa lo que haga, mis pruebas con la herramienta PacketTracer en la caja no producen los resultados que espero (por ejemplo, veo que el paquete golpea la regla Any / Any en la parte inferior de la ACL, aunque haya una configuración específica ACE en la parte superior de dicho ACL).

De todos modos, la pregunta es esta: ¿Alguien ha resuelto algo reiniciando un ASA? No es mi opción favorita, pero con los comportamientos muy extraños que veo, la solución de problemas se está volviendo infructuosa.

cisco-asa BrianK
fuente

Respuestas:

18

Respuesta corta: sí.

Respuesta más larga: :-) Hay errores en cada pieza de software. Cuanto más tiempo se ejecute, más probabilidades tendrá de configurar la tienda en su red. Pero más concretamente, cuanto más tiempo haya transcurrido sin un reinicio, más pequeños fragmentos de configuración y / o estado "antiguo" quedarán persistentes. En IOS, no interface fooemitirá una advertencia de que no está completamente destruido y los elementos de configuración pueden reaparecer si recrea la interfaz; no debería suceder en un ASA, pero en casos raros, lo hace. También he visto entradas NAT fantasmas después de eliminarlas de la configuración. (ese realmente es un error)

Al tratar con IPSec / crypto, he descubierto que un montón de locos pueden ser aclarados por un reload. En un caso (pix 6.3.5) no restablecería un túnel VPN hasta que lo hice.

[editar] Una palabra sobre reinicios en general: tiendo a reiniciar las cosas solo para asegurarme de que lo harán . Con demasiada frecuencia he tenido varios sistemas (enrutadores, cortafuegos, servidores) ejecutándose durante períodos prolongados, que se modifican constantemente, y cuando algo termina reiniciando (por lo general, un corte de energía, pero también ocurre "Uy, máquina incorrecta") rara vez regresa exactamente como estaba antes ... alguien olvidó hacer que X comenzara en el arranque, o alguna interacción extraña de partes hace que algo no arranque como se esperaba. Admito que es menos preocupante para las partes más estáticas de la infraestructura.

Ricky Beam
fuente
1
Gran respuesta, y estoy totalmente de acuerdo en que debe asegurarse de que sus dispositivos se inicien como se esperaba. También estoy de acuerdo en que las recargas a veces son necesarias (de hecho, pueden ser el único recurso) y pueden restaurar el servicio más rápido. Acabo de encontrarme con muchos casos en los que una recarga se percibe como la solución en lugar de un paso para resolver los síntomas actuales. No se realiza una exploración de la causa raíz y no se presiona al proveedor para que solucione el problema si está en su código. Peor aún son los casos que he encontrado en los que "una recarga cada [período]" es la solución permanente, cuando hay una actualización de código con una solución real.
YLearn
7

En general, no recomiendo reiniciar como solución a un problema a menos que sepa que está lidiando con un error que introduce algo como una pérdida de memoria o una condición de desbordamiento de caché.

Con un ASA que ejecuta una imagen de al menos 3,5 años, ¿ha verificado el kit de herramientas de errores de Cisco? Lo más probable es que cualquier error en la plataforma se documentará y puede ver si hay alguna aplicación.

También recomendaría abrir un caso de TAC si tiene soporte.

Los reinicios en mi mente pasan por alto otros problemas y pueden hacer que sea muy difícil (si no imposible) encontrar la causa raíz. En última instancia, sin comprender la causa raíz, no sabes que arreglaste nada y eso me parece muy peligroso, especialmente en una plataforma de "seguridad".

Por ejemplo, quizás tenga una vulnerabilidad de seguridad en el código que está siendo explotada por una fuente externa. Si bien el reinicio puede cortar su conexión y aliviar los síntomas, no hace nada para solucionar el problema.

YLearn
fuente
Estoy de acuerdo contigo al 100%. Obviamente, algunas actualizaciones y parches deben hacerse en el dispositivo. Todavía tengo que hacer una búsqueda del kit de herramientas de errores, porque identificar este problema en particular no es algo fácil de hacer, entonces, ¿dónde comienzas a buscar? Pero, para llenar los vacíos, este cambio particular será temporal, ya que un proyecto más grande para rediseñar la red está en marcha.
BrianK
1
Parece que tienes una buena postura sobre las cosas. TAC no es lo que solía ser, pero siempre recomiendo un caso TAC (si no estás acostumbrado, la herramienta de error puede ser peculiar). Permítales descubrir qué error es, aunque es posible que tenga que presionarlos para que lo hagan. Solo asegúrese de capturar tantos datos antes del reinicio como sea posible ya que se perderán algunos detalles (procesos en ejecución, uso de memoria, etc.). Un "show tech" debería obtener la mayor parte de lo que necesita en una plataforma Cisco.
YLearn
3

Como se mencionó, la gestión de riesgos y la gestión de vulnerabilidades deberían ser sus preocupaciones. Yo diría que hay al menos 10-20 vulnerabilidades conocidas para su versión de software ASA, suponiendo que tenga el último firmware instalado en el momento representado por el tiempo de actividad.

Enlace Tools.cisco.com, con vulns durante el año pasado (algunos no son relevantes, pero esto debería darle una buena idea)

Algunas otras herramientas que pueden ayudarlo:

  • Cisco Security IntelliShield Alert Manager : determine si los activos de red, hardware y software son vulnerables a amenazas nuevas y existentes

  • Cisco IOS Software Checker . No sé si hay algo similar para el ASA, pero ¿tal vez alguien podría intervenir?

  • Auditoría de configuración del enrutador: RedSeal puede incluir verificaciones de versión (han pasado varios años desde que he trabajado con él), así como muchas otras herramientas de seguridad para redes

  • Gestión de vulnerabilidades: Nessus tiene versiones comunitarias y comerciales, y hay muchos otros programas como este.

lunistorvalds
fuente
2

Recientemente me he encontrado con problemas similares de un ASA que ejecuta 8.2 (2) 16 con ~ 2.5 años de tiempo de actividad, por lo que los grupos de objetos especificados en las ACL de mapas criptográficos no coincidían. Al agregar una declaración de ACL que el grupo de objetos ya abarcaba, se hizo coincidir el tráfico interesante. Muy frustrante.

Un colega informó que habían visto este comportamiento anteriormente y que una recarga lo resolvió en esa instancia.

Gran permanente
fuente
0

Cuando dice que aparece una carga de texto 'aleatorio' al agregar ACE, ¿está escribiendo manualmente estos ACE o los está pegando desde alguna otra fuente (como el bloc de notas)?

He visto problemas antes en los que si pega muchas líneas en un dispositivo, se puede sobrecargar y se produce algún daño, pegar menos líneas generalmente lo arregla o usar una función en su programa de terminal para 'pegar lentamente' para permitir un pequeño intervalo de tiempo entre cada línea.

David Rothera
fuente
Estoy creando manualmente un nuevo ACE a través de ASDM. Si la regla contiene una red de origen particular (ya sea que use el objeto de red, un objeto de grupo o simplemente escriba la subred), el ACE aparece con aproximadamente 30 líneas de descripción. El texto no es completamente "aleatorio", parece ser que los comentarios se usaron una vez, en un ACE en algún lugar ... Pero nunca lo he escrito todo ...
BrianK