root

Well-Known Member

Monitoring and Troubleshooting the Security Contexts on Cisco ASA


Phần này sẽ thảo luận về các lệnh “show” và “debug” để kiểm tra sức khỏa choặc các vấn đề liên quan đến Security Contexts của Firewall Cisci ASA.

I. Monitoring Cisco ASA


Show mode
Dùng để kiểm tra firewall đang chạy ở multiple mode không, nghĩa đang có sử dụng chức năng virtual firewall trên Cisco ASA không.


monitoring and troubleshoot virtual firewall (1)


Show context
Dùng để liệt kê tất cả các Security context mà chúng ta đã tạo và cấu hình trên Firewall Cisco ASA. Ngoài ra, nó còng giúp chúng ta kiểm tra cấu hình các security contexts như:
  • Context Name: Tên của các security context đã được tạo trên Cisco ASA.

  • Interfaces: cho biết các interface nào được gán cho security context nào

  • Mode: cho biết security context đang chạy ở mode nào

  • URL: nơi lưu file running-configuration của security context đó
monitoring and troubleshoot virtual firewall (2)


Ngoài ra, bạn có thể vào trong từng security context để kiểm tra cấu hình của các security context. Tương tự, lệnh show context trong một security context cũng cho bạn biết chi tiết cấu hình của security context đó như: context name, interfaces, mode, URL.


monitoring and troubleshoot virtual firewall (3)


Show admin-context
Dùng để kiểm tra context admin trên Cisco ASA.

monitoring and troubleshoot virtual firewall (4)


Show cpu usage context all
Cisco ASA cho phép monitoring % CPU được sử dụng trên từng Security Context.

Điều này khá hữu ích để bạn có thể xác định security context nào đang sử dụng nhiều tài nguyên CPU nhất. Từ đó đưa ra resource phù hợp cho từng security context.

monitoring and troubleshoot virtual firewall (5)


Show asp drop
Bạn có thể sử dụng lệnh “show asp drop” để troubleshoot traffic bị drop bởi firewall Cisco ASA.

Các packets bị drop này có thể là do:
  • Do các rule deny trong các Access control list của firewall Cisco ASA.

  • Có thể là những gói tin VPN không hợp lệ.

  • Là các gói tin malformed TCP segment. Malformed TCP segment là hình thức tấn công mà hacker sẽ gửi những gói tin TCP không đúng chuẩn để làm treo hệ thống.

  • Một gói tin có thông tin header không hợp lệ.

Ví dụ:

Nếu Firewall Cisco ASA nhận được một packet mà không có đầy đủ các thông tin để gửi packet đến chính xác security context thì nó sẽ bị drop.

Lúc này, bạn nhìn vào dòng “Virtual Firewall classification failed (ifc-classify)” sẽ thấy nó tăng lên là do packet gửi đến có header không đúng.

Điều này, khá hữu ích trong việc troubleshooting.

Ví dụ dưới đây cho thấy Firewall Cisco ASA đã drop 337 paclets vì lỗi classification.


monitoring and troubleshoot virtual firewall (6)

monitoring and troubleshoot virtual firewall (7)


II. Troubleshooting Virtual Firewall Cisco ASA


Dưới đây là một số lệnh quan trọng trong troubleshooting firewall Cisco ASA. Một số trường hợp bạn phải kết hợp cả những lệnh “debug” và syslog để tìm ra vấn đề và giải quyết nó.

Show version | include Security Context
Khi bạn tạo mới một security context và có một thông báo từ lỗi từ Firewall Cisco ASA như hình dưới đây. Bạn không thể tạo mới security context này.

monitoring and troubleshoot virtual firewall (8)


Nguyên nhân là vì Firewall Cisco ASA của bạn đã tạo tối đa security context mà License Firewall Cisco ASA cho phép. Nên không thể tạo thêm một security context nữa.

Để kiểm tra số lượng security context mà Firewall Cisco ASA hỗ trợ, các bạn có thể sử dụng lệnh “show version”.

Số lượng Security Application tối đa mà Firewall hỗ trợ phụ thuộc vào License và model của Firewall Cisco ASA đó.


monitoring and troubleshoot virtual firewall (9)


Security Contexts are not saved on the local disk
Nếu file cấu hình của security context được lưu trên ổ đĩa local nhưng Firewall Cisco ASA không thể tìm thấy hoặc không thể lưu chúng.

Các bạn hãy sử dụng lệnh “debug disk” để kiểm tra các thông tin.

Ví dụ sử dụng lệnh “debug disk” dưới đây.

Mình sẽ sử dụng các lệnh debug sau: “debug disk fail, file-verbose, filesystem” và enable log ở level 255.

Trong ví dụ dưới đây, running configuration của Firewall Cisco ASA được lưu trong flash của system. Dòng highlighted cho biết Firewall mở running-configuration file từ ổ đĩa của Firewall và ghi những nội dung mới vào đây.

Nếu flash của Firewall bị lỗi thì bạn sẽ thấy thông báo lỗi đọc hoặc ghi ở đây.


monitoring and troubleshoot virtual firewall (10)


Security Contexts are not saved on the FTP Server
Lỗi copy file Running config của Security context qua FTP server.

Sử dụng lệnh “debug ftp client” để kiểm tra vấn đề này.

Trong ví dụ dưới đây lệnh debug cho thấy user sử dụng password không chính xác.


monitoring and troubleshoot virtual firewall (11)
 
Last edited:
Top