ASA: Troubleshooting de AIP-SSM

Introducción

Este documento describe cómo resolver problemas del estado sin respuesta del módulo Advanced Inspection and Prevention Security Services (AIP-SSM) en Cisco 5500 series Adaptive Security Appliance (ASA).

Prerequisites

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

La información de este documento se basa en el AIP-SSM en Cisco ASA serie 5500.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Convenciones

Consulte Convenciones de Consejos TécnicosCisco para obtener más información sobre las convenciones del documento.

Resolución de problemas

Estado sin respuesta

Problema:

El AIP-SSM entra en un estado sin respuesta, no puede responder al acceso HTTP o ASDM pero es accesible desde CLI, como se muestra:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Solución:

Ejecute el comando hw-module module 1 reset en su ASA. Este comando realiza un restablecimiento de hardware del AIP-SSM. Es aplicable cuando la tarjeta se encuentra en cualquiera de estos estados:

• en funcionamiento

• down (inactivo)

• insensible

• recobrar

Si reinicia el ASA en un estado sin respuesta, su SSM debe ser re-imaged. Refiérase a la sección Instalación de la Imagen del Sistema AIP-SSM de Actualización, Desactualización e Instalación de Imágenes del Sistema para obtener más información y los pasos sobre cómo recrear imágenes del AIP-SSM.

Nota: Refiérase a la sección Recarga, Apagado, Restablecimiento y Recuperación de AIP-SSM de Configuración de ASA-SSM para obtener más información sobre los diversos comandos disponibles para resolver problemas del AIP-SSM.

Este problema se debe a la identificación de error de Cisco CSCts58648 (sólo para clientes registrados) .

No se puede acceder al AIP SSM a través de ASDM

Problema:

Este mensaje de error aparece en la GUI.

Error connecting to sensor. Error Loading Sensor error

Solución:

Verifique que la interfaz de administración IPS SSM esté activa/inactiva, y verifique su dirección IP configurada, máscara de subred y gateway predeterminada. Ésta es la interfaz para acceder al software Cisco Adaptive Security Device Manager (ASDM) desde el equipo local. Intente hacer ping a la dirección IP de la interfaz de administración de IPS SSM desde la máquina local a la que desea acceder el ASDM. Si no puede hacer ping, compruebe las ACL en el sensor.

Problema:

El mensaje de error cannot communicwith main app aparece mientras intenta conectarse al módulo AIP SSM.

Solución:

Recargue el ASA o el módulo AIP SSM para resolver este error.

No se puede actualizar el IPS SSM

Problema:

El mensaje de error Error: execUpgradeSoftware Connection failed se ve en la CLI.

Solución:

Verifique que la interfaz de administración IPS SSM esté activa/inactiva y que sea la interfaz a través de la cual ASA-IPS intenta comunicarse para descargar el software. No se trata de una conexión de placa base entre ASA e IPS-SSM; se trata de la conexión Ethernet del módulo AIP-SSM, que debe conectarse a un puerto de switch y configurarse con una dirección IP, una máscara de subred y una puerta de enlace predeterminada. Si http sigue sin funcionar, intente utilizar la opción FTP o SCP con el comando upgrade.

Error de actualización: execUpgradeSoftware

Problema:

El error: execUpgradeSoftware La actualización requiere 60340 KB en /usr/cids/idsRoot/var/updates, sólo hay 57253 KB disponibles. Se ve un mensaje de error durante la actualización.

Solución 1:

Para solucionar este problema, debe iniciar sesión en la CLI del sensor con una cuenta de servicio. Si no tiene una cuenta de servicio, puede crear una con estos comandos:

configure terminal 
user (username) priv service password (pass)
 exit

Una vez que inicie sesión en la cuenta de servicio, ejecute estos comandos rm /usr/cids/idsRoot/var/*pmz y finalice la sesión de la cuenta de servicio. A continuación, compruebe que la actualización se ha completado.

Solución 2:

Este error se produce debido al menor espacio disponible en el módulo IPS, ya que los archivos de recuperación ocupan más espacio en el módulo. Complete estos pasos para eliminar los archivos de recuperación y resolver este error:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

No se puede conectar al IPS con el visor de eventos IPS (IEV)

Problema:

Aparece este mensaje de error:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solución:

Este problema se puede resolver si regenera el certificado tls con este comando:

sensor(config)#tls generate-key

No se puede acceder a AIP-SSM

Problema:

Cuando intenta acceder a SSM, se muestra este mensaje de error.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Solución:

Ejecute el comando hw-module module 1 recover para resolver este problema. Consulte Recuperación de AIP-SSM para obtener más información sobre este comando.

Error: el módulo AIP-SSM está conectado al ASA

Problema:

Cuando intenta insertar el módulo AIP SSM en el ASA, se muestra este mensaje de error.

module in slot 1 experienced a channel communication failure

Solución:

Recargue el ASA para resolver el problema. Si el problema persiste, póngase en contacto con el TAC para obtener más ayuda.

AIP-SSM falla después de la actualización de la firma

Problema:

AIP-SSM falla después de actualizar la firma. La actualización de la firma hace que el AIP-SSM se quede sin memoria y deje de responder cuando el número de firmas habilitadas es alto.

Solución:

Restablezca la definición de firma para resolver el problema. Si hay demasiadas firmas habilitadas, intente restablecer la definición de firma. SSH al sensor y utilice estos comandos:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Problemas de latencia con el sensor IPS

Problema:

Se produce un problema de latencia con el sensor IPS.

Solución:

El problema de latencia ocurre cuando la acción de negación en línea y el paquete de negación están habilitados para cada firma en VS0. Si habilita todas las firmas, esto da como resultado la latencia, ya que IPS inspecciona cada paquete individual a través del cual pasa. Es conveniente habilitar solamente la firma específica requerida según el flujo de tráfico de red para resolver el problema de latencia.

Información Relacionada

• Página de soporte de Cisco Adaptive Security Appliance
• Soporte Técnico y Documentación - Cisco Systems