ASA 5550 - Reinicialização vale a pena?

13

Eu tenho um ASA 5550 que esteja executando cargas e cargas de operações (AnyConnect, NAT, ACL, RAIO, etc, etc). Não é particularmente sobrecarregado em termos de CPU e memória, mas possui um tempo de atividade de mais de 3,5 anos.

Ultimamente, tenho tentado implantar outro túnel IPSEC (via criptomap) junto com uma regra de isenção de NAT, mas o ASA está exibindo um comportamento muito estranho. Às vezes, quando adiciono ACE, uma massa de texto aparece do nada no campo de descrição. Não importa o que eu faça, meus testes com a ferramenta PacketTracer na caixa não produzem os resultados esperados (por exemplo - vejo o pacote atingindo a regra Qualquer / Qualquer na parte inferior da ACL, mesmo que exista uma configuração específica) ACE na parte superior da referida ACL).

Enfim, a pergunta é a seguinte: alguém realmente resolveu algo reiniciando um ASA? Não é minha opção favorita, mas com os comportamentos muito estranhos que vejo, a solução de problemas está se tornando infrutífera.

cisco-asa BrianK
fonte

Respostas:

18

Resposta curta: Sim.

Resposta mais longa: :-) Há bugs em todo software. Quanto mais tempo ele for executado, maior será a probabilidade de configurar a loja na sua rede. Mas, mais importante, quanto mais tempo for necessário sem uma reinicialização, mais pequenos pedaços de configuração e / ou status "antigos" permanecerão remanescentes. No IOS, no interface fooemitirá um aviso de que não está completamente destruído e os elementos de configuração poderão reaparecer se você recriar a interface - não deve ocorrer em um ASA, mas em casos raros, ocorre. Eu também vi entradas NAT fantasmas depois de excluí-las da configuração. (aquele realmente é um bug)

Ao lidar com IPSec / criptografia, descobri que muitos malucos podem ser esclarecidos por um reload. Em um caso (pix 6.3.5), ele não restabeleceria um túnel VPN até que eu o fizesse.

[editar] Uma palavra sobre reinicializações em geral: eu tendem a reiniciar as coisas apenas para garantir que elas sejam executadas . Com muita frequência, eu tenho vários sistemas (roteadores, firewalls, servidores) em execução por longos períodos - sendo constantemente modificados e quando algo acaba reiniciando-os (geralmente uma falta de energia, mas "opa, máquina errada" acontece também) eles raramente voltam exatamente como eram antes ... alguém se esqueceu de fazer o X iniciar na inicialização, ou alguma interação estranha de peças faz com que algo não seja inicializado conforme o esperado. Eu admito, é menos uma preocupação com partes mais estáticas da infraestrutura.

Ricky Beam
fonte
1
Ótima resposta, e concordo plenamente que você precisa garantir que seus dispositivos sejam inicializados conforme o esperado. Também concordo que as recargas às vezes são necessárias (de fato, podem ser o único recurso) e podem restaurar o serviço mais rapidamente. Acabei de encontrar muitos casos em que uma recarga é percebida como a correção, e não como uma etapa para resolver os sintomas atuais. Nenhuma exploração da causa raiz é feita e nenhuma pressão é exercida sobre o fornecedor para corrigir o problema se ele estiver em seu código. Pior ainda são os casos que encontrei em que "uma recarga a cada [período]" é a correção permanente, quando há uma atualização de código com uma correção real.
YLearn
7

Geralmente, não recomendo a reinicialização como solução para um problema, a menos que você saiba que está lidando com um bug que introduz algo como vazamento de memória ou condição de estouro de cache.

Com um ASA executando uma imagem com pelo menos 3,5 anos, você verificou o kit de ferramentas de erros da Cisco? As probabilidades são de que quaisquer erros na plataforma sejam documentados e você pode ver se algum deles se aplica.

Eu também recomendaria abrir um caso TAC se você tiver suporte.

Reinicializações em minha mente encobrem outros problemas e podem tornar muito difícil (se não impossível) encontrar a causa raiz. Por fim, sem entender a causa raiz, você não sabe que consertou nada e acho isso muito perigoso, especialmente em uma plataforma de "segurança".

Por exemplo, talvez você tenha uma vulnerabilidade de segurança no código que está sendo explorado por uma fonte externa. Embora a reinicialização possa interromper a conexão e aliviar os sintomas, ela não faz nada para solucionar o problema.

YLearn
fonte
Eu concordo com você 100%. Obviamente, algumas atualizações e correções precisam ser feitas no dispositivo. Ainda estou para fazer uma pesquisa no kit de ferramentas de erros, porque identificar esse problema em particular não é algo fácil de fazer - então, por onde começar a pesquisar? Mas, para preencher as lacunas, essa mudança específica será temporária, pois um projeto maior para redesenhar a rede está em andamento.
quer
1
Parece que você tem uma boa postura sobre as coisas. O TAC não é o que costumava ser, mas eu sempre recomendo um caso de TAC (se você não estiver acostumado, a ferramenta de erros pode ser peculiar). Deixe-os descobrir qual é o erro, embora você precise pressioná-los para fazê-lo. Apenas certifique-se de capturar o máximo de dados possível antes da reinicialização, pois alguns detalhes serão perdidos (processos em execução, uso de memória, etc.). Um "show tech" deve obter o que você precisa em uma plataforma Cisco.
YLearn
3

Como mencionado, o gerenciamento de riscos e o gerenciamento de vulnerabilidades devem ser suas preocupações. Eu diria que existem pelo menos 10 a 20 vulnerabilidades conhecidas para sua versão de software ASA, supondo que você tenha o firmware mais recente instalado no momento representado pelo tempo de atividade.

Link Tools.cisco.com, com vulns do ano passado (alguns não são relevantes, mas isso deve lhe dar uma boa ideia)

Algumas outras ferramentas que podem ajudá-lo:

  • Cisco Security IntelliShield Alert Manager - determine se os ativos de rede, hardware e software estão vulneráveis ​​a ameaças novas e existentes

  • Verificador de Software Cisco IOS . Não sei se há algo semelhante para o ASA, mas talvez alguém possa entrar?

  • Auditoria de configuração de roteador: O RedSeal pode incluir verificações de versão (já se passaram vários anos desde que eu trabalhei com ele), além de muitas outras ferramentas de segurança para redes

  • Gerenciamento de vulnerabilidades: o Nessus possui versões comerciais e da comunidade, e há muitos outros softwares como esse por aí

lunistorvalds
fonte
2

Encontrei recentemente problemas semelhantes em um ASA executando 8.2 (2) 16 com ~ 2,5 anos de tempo de atividade, pelo qual os grupos de objetos especificados nas ACLs do mapa criptográfico não estavam sendo correspondidos. A adição de uma instrução ACL que o grupo de objetos já englobou fez com que correspondesse tráfego interessante. Muito frustrante.

Um colega informou que eles haviam visto esse comportamento anteriormente e que uma recarga o solucionava nesse caso.

Big Perm
fonte
0

Quando você diz que um carregamento de texto 'aleatório' está aparecendo ao adicionar ACE's, você está digitando manualmente esses ACEs ou colando-os de alguma outra fonte (como o bloco de notas).

Eu já vi problemas antes em que, se você estiver colando muitas linhas em um dispositivo, ele pode ficar sobrecarregado e ocorrer alguma corrupção, colar menos linhas geralmente o corrige ou usa uma função no programa de terminal para 'colar devagar' para permitir uma pequena intervalo de tempo entre cada linha.

David Rothera
fonte
Estou criando manualmente um novo ACE via ASDM. Se a regra contiver uma rede de origem específica (se eu uso o objeto de rede, um objeto de grupo ou simplesmente digito a sub-rede), o ACE aparece com cerca de 30 linhas de descrição. O texto não é completamente "aleatória", que parece ser comentários que foram usados uma vez, em um algum lugar ACE ... Mas eu não já digitado tudo isso em ...
BrianK