ASA 5550 - Reboot Bermanfaat?

13

Saya punya ASA 5550 yang melakukan banyak dan banyak operasi (AnyConnect, NAT, ACL, RADIUS, dll, dll). Ini tidak terlalu kelebihan dalam hal CPU & Memori, tetapi memiliki uptime lebih dari 3,5 tahun.

Akhir-akhir ini saya telah mencoba untuk menyebarkan terowongan IPSEC lain (melalui cryptomap) bersama dengan aturan NAT Exempt, tetapi ASA menunjukkan perilaku yang sangat aneh. Kadang-kadang ketika saya menambahkan ACE, banyak teks muncul entah dari mana di bidang deskripsi. Tidak peduli apa yang saya lakukan, pengujian saya dengan alat PacketTracer pada kotak tidak menghasilkan hasil yang saya harapkan (misalnya - saya melihat paket mengenai aturan Any / Any di bagian bawah ACL, meskipun ada yang dikonfigurasi secara khusus ACE di atas kata ACL).

Bagaimanapun, pertanyaannya adalah ini: Adakah yang pernah benar-benar menyelesaikan sesuatu dengan me-reboot ASA? Ini bukan pilihan favorit saya, tetapi dengan perilaku yang sangat aneh, saya melihat pemecahan masalah menjadi sia-sia.

cisco-asa BrianK
sumber

Jawaban:

18

Jawaban singkat: Ya.

Jawaban yang lebih panjang: :-) Ada bug di setiap bagian dari perangkat lunak. Semakin lama berjalan, semakin besar kemungkinan untuk mengatur toko di jaringan Anda. Tapi lebih tepatnya, semakin lama hilang tanpa reboot, semakin sedikit bit konfigurasi "lama" dan / atau status akan tertinggal. Di iOS, no interface fooakan memancarkan peringatan bahwa itu tidak sepenuhnya hancur dan elemen konfigurasi dapat muncul kembali jika Anda membuat ulang antarmuka - tidak boleh terjadi dalam ASA tetapi dalam kasus yang jarang, itu terjadi. Saya juga melihat entri NAT phantom setelah menghapusnya dari konfigurasi. (yang sebenarnya adalah bug)

Ketika berhadapan dengan IPSec / crypto, saya telah menemukan banyak sekali kegilaan yang bisa diselesaikan oleh seorang reload. Dalam satu kasus (pix 6.3.5) itu tidak akan membangun kembali terowongan VPN sampai saya melakukannya.

[Sunting] Sebuah kata pada reboot secara umum: Saya cenderung untuk reboot hal hanya untuk memastikan mereka mau . Terlalu sering saya memiliki berbagai sistem (router, firewall, server) berjalan untuk waktu yang lama - terus-menerus dimodifikasi, dan ketika sesuatu akhirnya me-restart mereka (biasanya pemadaman listrik, tetapi "oops, mesin yang salah" terjadi juga) mereka jarang muncul kembali persis seperti sebelumnya ... seseorang lupa membuat X mulai saat boot, atau beberapa interaksi aneh bagian membuat sesuatu tidak startup seperti yang diharapkan. Saya akui, ini bukan masalah untuk bagian yang lebih statis dari infrastruktur seseorang.

Ricky Beam
sumber
1
Jawaban yang bagus, dan saya sepenuhnya setuju bahwa Anda perlu memastikan perangkat Anda boot seperti yang diharapkan. Saya juga setuju bahwa memuat ulang kadang-kadang diperlukan (pada kenyataannya, mungkin satu-satunya jalan lain) dan dapat memulihkan layanan lebih cepat. Saya baru saja mengalami terlalu banyak kasus di mana reload dianggap sebagai perbaikan daripada langkah untuk mengatasi gejala saat ini. Tidak ada eksplorasi akar permasalahan yang dilakukan dan tidak ada tekanan yang diberikan pada vendor untuk memperbaiki masalah jika ada dalam kode mereka. Lebih buruk lagi adalah kasus saya menemukan di mana "memuat ulang setiap [periode]" adalah perbaikan berdiri, ketika ada peningkatan kode dengan perbaikan nyata.
YPelajari
7

Secara umum, saya tidak merekomendasikan reboot sebagai resolusi untuk masalah kecuali Anda tahu Anda berurusan dengan bug yang memperkenalkan sesuatu seperti kebocoran memori atau kondisi cache yang berlebihan.

Dengan ASA yang menjalankan gambar yang berusia minimal 3,5 tahun, sudahkah Anda memeriksa toolkit bug Cisco? Kemungkinannya adalah semua bug di platform akan didokumentasikan dan Anda dapat melihat apakah ada yang ingin diterapkan.

Saya juga akan merekomendasikan membuka kasing TAC jika Anda memiliki dukungan.

Reboot di pikiran saya mengabaikan masalah lain dan dapat membuatnya sangat sulit (jika bukan tidak mungkin) untuk menemukan akar masalah. Pada akhirnya tanpa memahami akar masalahnya, Anda tidak tahu bahwa Anda memperbaiki apa pun dan saya menemukan itu sangat berbahaya, terutama pada platform "keamanan".

Misalnya, mungkin Anda memiliki kerentanan keamanan dalam kode yang dieksploitasi oleh sumber luar. Meskipun reboot mungkin memutus koneksi mereka dan meringankan gejalanya, itu tidak melakukan apa-apa untuk mengatasi masalah tersebut.

YPelajari
sumber
Saya setuju dengan Anda 100%. Tentunya, beberapa pembaruan dan tambalan perlu dilakukan pada perangkat. Saya belum melakukan pencarian bug toolkit, karena mengidentifikasi masalah khusus ini bukan hal yang mudah dilakukan - jadi di mana Anda mulai mencari? Tetapi, untuk mengisi kekosongan, perubahan khusus ini akan bersifat sementara, karena proyek yang lebih besar untuk mendesain ulang jaringan sedang berlangsung.
BrianK
1
Kedengarannya Anda memiliki sikap yang baik pada banyak hal. TAC tidak seperti dulu, tapi saya selalu merekomendasikan kasing TAC (jika Anda tidak terbiasa, alat bug bisa menjadi aneh). Biarkan mereka mencari tahu bug apa itu, walaupun Anda mungkin harus mendorong mereka untuk melakukannya. Pastikan untuk mengambil data sebanyak mungkin sebelum reboot sebisa mungkin karena beberapa detail akan hilang (proses yang berjalan, penggunaan memori, dll). "Teknologi pertunjukan" harus mendapatkan sebagian besar dari apa yang Anda butuhkan pada platform Cisco.
YPelajari
3

Seperti disebutkan, manajemen risiko dan manajemen kerentanan harus menjadi perhatian Anda. Saya akan mengatakan setidaknya ada 10-20 kerentanan yang diketahui untuk versi perangkat lunak ASA Anda, dengan asumsi Anda memiliki firmware terbaru yang diinstal pada saat yang diwakili oleh uptime.

Tautan Tools.cisco.com, dengan vulns selama setahun terakhir (beberapa tidak relevan, tetapi ini akan memberi Anda ide yang bagus)

Beberapa alat lain yang dapat membantu Anda:

  • Cisco Security IntelliShield Alert Manager - menentukan apakah aset jaringan, perangkat keras, dan perangkat lunak rentan terhadap ancaman baru dan yang ada

  • Pemeriksa Perangkat Lunak Cisco IOS . Saya tidak tahu apakah ada sesuatu yang serupa untuk ASA, tetapi mungkin seseorang bisa berpadu?

  • Router Configuration Auditing: RedSeal dapat menyertakan pemeriksaan versi (sudah beberapa tahun sejak saya menggunakan bekerja dengannya), serta banyak alat keamanan lainnya untuk jaringan

  • Manajemen Kerentanan: Nessus memiliki versi komunitas dan komersial, dan ada banyak perangkat lunak lain seperti ini di luar sana

lunistorvalds
sumber
2

Saya baru-baru ini mengalami masalah yang sama dari ASA berjalan 8.2 (2) 16 dengan ~ 2,5 tahun uptime, di mana objek-kelompok yang ditentukan dalam peta kripto ACL tidak dicocokkan. Menambahkan pernyataan ACL bahwa objek-grup yang sudah tercakup menyebabkan lalu lintas yang menarik untuk dicocokkan. Sangat membuat frustrasi.

Seorang kolega menyarankan mereka telah melihat perilaku ini sebelumnya dan bahwa memuat ulang diselesaikan dalam hal itu.

Perm besar
sumber
0

Ketika Anda mengatakan memuat teks 'acak' muncul saat menambahkan ACE, apakah Anda secara manual mengetik ACE ini atau Anda menempelkannya dari sumber lain (seperti notepad).

Saya telah melihat masalah sebelumnya di mana jika Anda menempelkan banyak baris ke perangkat, itu bisa kelebihan beban dan beberapa korupsi terjadi, menempelkan lebih sedikit garis yang biasanya memperbaikinya atau menggunakan fungsi pada program terminal Anda untuk 'menempelkan lambat' untuk memungkinkan yang kecil kesenjangan waktu antara setiap baris.

David Rothera
sumber
Saya secara manual membuat ACE baru melalui ASDM. Jika aturan berisi jaringan sumber tertentu (apakah saya menggunakan objek jaringan, objek grup, atau cukup ketik subnet) ACE muncul dengan sekitar 30 baris deskripsi. Teksnya tidak sepenuhnya "acak", tampaknya itu adalah komentar yang pernah digunakan, pada ACE di suatu tempat ... Tapi saya belum pernah mengetik semuanya ...
BrianK