ASA 5550 - Neustart lohnt sich?

Ich habe einen ASA 5550, der viele Vorgänge ausführt (AnyConnect, NAT, ACL, RADIUS usw. usw.). Es ist nicht besonders stark in Bezug auf CPU und Arbeitsspeicher überlastet, hat aber eine Betriebszeit von über 3,5 Jahren.

In letzter Zeit habe ich versucht, einen anderen IPSEC-Tunnel (über Cryptomap) zusammen mit einer NAT-Ausnahmeregel bereitzustellen, aber der ASA zeigt ein sehr merkwürdiges Verhalten. Wenn ich ACEs hinzufüge, taucht manchmal eine Menge Text aus dem Nichts im Beschreibungsfeld auf. Unabhängig davon, was ich mache, führen meine Tests mit dem integrierten PacketTracer-Tool nicht zu den erwarteten Ergebnissen (Beispiel: Ich sehe, dass das Paket die Any / Any-Regel unten in der ACL erfüllt, obwohl eine speziell konfigurierte vorhanden ist ACE oben in der ACL).

Wie auch immer, die Frage ist: Hat jemand jemals etwas durch einen Neustart einer ASA gelöst? Es ist nicht meine Lieblingsoption, aber mit den sehr seltsamen Verhaltensweisen sehe ich, dass die Fehlerbehebung erfolglos wird.

Kurze Antwort: Ja.

Längere Antwort: :-) Es gibt Fehler in jeder Software. Je länger es läuft, desto wahrscheinlicher wird man den Shop in Ihrem Netzwerk einrichten. Je länger es ohne Neustart ist, desto mehr "alte" Konfigurationen und / oder Status bleiben erhalten. In IOS no interface foowird eine Warnung ausgegeben, dass es nicht vollständig zerstört ist, und Konfigurationselemente werden möglicherweise erneut angezeigt, wenn Sie die Schnittstelle neu erstellen. Dies sollte in einem ASA nicht geschehen, ist jedoch in seltenen Fällen der Fall. Ich habe auch Phantom-NAT-Einträge gesehen, nachdem ich sie aus der Konfiguration gelöscht habe. (das ist eigentlich ein Bug)

Beim Umgang mit IPSec / Krypto habe ich festgestellt, dass eine ganze Menge verrückter Dinge durch a aufgeklärt werden können reload. In einem Fall (pix 6.3.5) würde es keinen VPN-Tunnel wiederherstellen, bis ich es tat.

[Bearbeiten] Ein Wort zu Neustarts im Allgemeinen: Ich neige dazu, Dinge neu zu starten, nur um sicherzugehen, dass sie es tun . Allzu oft habe ich verschiedene Systeme (Router, Firewalls, Server) über einen längeren Zeitraum laufen lassen - diese wurden ständig modifiziert, und wenn sie irgendwann neu gestartet wurden (normalerweise ein Stromausfall, aber "Ups, falsche Maschine" passiert auch) Komme selten genau so wieder, wie sie vorher waren ... Jemand hat vergessen, X beim Booten zu starten, oder ein seltsames Zusammenspiel von Teilen lässt etwas nicht wie erwartet starten. Ich gebe zu, es geht weniger um statischere Teile der eigenen Infrastruktur.

Im Allgemeinen empfehle ich keinen Neustart als Lösung für ein Problem, es sei denn, Sie wissen, dass es sich um einen Fehler handelt, der zu einem Speicherverlust oder einem Cache-Überlauf führt.

Haben Sie bei einem ASA mit einem Image, das mindestens 3,5 Jahre alt ist, das Cisco-Bug-Toolkit überprüft? Wahrscheinlich werden alle Fehler auf der Plattform dokumentiert und Sie können sehen, ob sie zutreffen.

Ich würde auch empfehlen, einen TAC-Fall zu eröffnen, wenn Sie Unterstützung haben.

Neustarts in meinem Kopf beschönigen andere Probleme und können es sehr schwierig (wenn nicht unmöglich) machen, die Ursache zu finden. Letztendlich wissen Sie nicht, dass Sie irgendetwas behoben haben, ohne die eigentliche Ursache zu verstehen, und das finde ich sehr gefährlich, insbesondere auf einer "Sicherheits" -Plattform.

Möglicherweise liegt eine Sicherheitslücke im Code vor, die von einer externen Quelle ausgenutzt wird. Während der Neustart die Verbindung unterbricht und die Symptome lindert, kann das Problem nicht behoben werden.

Wie bereits erwähnt, sollten Risikomanagement und Schwachstellenmanagement Ihre Anliegen sein. Ich würde sagen, dass es mindestens 10-20 bekannte Sicherheitslücken für Ihre ASA-Softwareversion gibt, vorausgesetzt, Sie hatten die neueste Firmware zum angegebenen Zeitpunkt installiert.

Tools.cisco.com Link, mit Vulns für das vergangene Jahr (einige sind nicht relevant, aber dies sollte Ihnen eine gute Idee geben)

Einige andere Tools, die Ihnen helfen können:

• Cisco Security IntelliShield Alert Manager - Bestimmen Sie, ob Netzwerk-, Hardware- und Software-Assets für neue und vorhandene Bedrohungen anfällig sind

• Cisco IOS Software Checker . Ich weiß nicht, ob es für die ASA etwas Ähnliches gibt, aber vielleicht könnte sich jemand melden?

• Routerkonfigurationsüberwachung: RedSeal kann Versionsüberprüfungen (seitdem habe ich einige Jahre damit gearbeitet) sowie zahlreiche andere Sicherheitstools für Netzwerke umfassen

• Vulnerability Management: Nessus verfügt über Community- und kommerzielle Versionen, und es gibt eine Menge anderer Software wie diese

Ich habe kürzlich ähnliche Probleme mit einem ASA festgestellt, auf dem 8.2 (2) 16 mit einer Betriebszeit von ca. 2,5 Jahren ausgeführt wird, wobei in Crypto Map-ACLs angegebene Objektgruppen nicht abgeglichen wurden. Das Hinzufügen einer ACL-Anweisung, die die Objektgruppe bereits umfasste, bewirkte, dass der interessante Datenverkehr abgeglichen wurde. Sehr frustrierend.

Ein Kollege teilte mit, dass er dieses Verhalten bereits zuvor gesehen habe und dass es in diesem Fall durch ein erneutes Laden behoben worden sei.

Wenn Sie sagen, dass beim Hinzufügen von ACEs 'zufälliger' Text angezeigt wird, tippen Sie diese ACEs manuell ein oder fügen sie aus einer anderen Quelle (z. B. aus dem Editor) ein.

Ich habe zuvor Probleme gesehen, bei denen das Einfügen vieler Zeilen in ein Gerät zu einer Überlastung und zu Beschädigungen führen kann. In der Regel wird das Problem durch das Einfügen weniger Zeilen behoben Zeitlücke zwischen jeder Zeile.