ASA: Identificação e solução de problemas do AIP-SSM

Introdução

Este documento descreve como resolver problemas de estado sem resposta do Advanced Inspection and Prevention Security Services Module (AIP-SSM) no Adaptive Security Appliance (ASA) da série Cisco 5500.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

As informações neste documento são baseadas no AIP-SSM no Cisco 5500 Series ASA.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Conventions

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Troubleshooting

Estado sem resposta

Problema:

O AIP-SSM entra em um estado sem resposta, não responde ao acesso HTTP ou ASDM, mas é acessível pela CLI, como mostrado:

show module

Mod Card Type                                    Model              Serial No. 
--- -------------------------------------------- ------------------ -----------
  0 ASA 5510 Adaptive Security Appliance         ASA5510            JMX0934K021
  1 ASA 5500 Series Security Services Module-10  ASA-SSM-10         JAB093203S3

Mod MAC Address Range                 Hw Version   Fw Version   Sw Version     
--- --------------------------------- ------------ ------------ ---------------
  0 0013.c480.a11d to 0013.c480.a121  1.0          1.0(10)0     7.0(2)
  1 0013.c480.b204 to 0013.c480.b204  1.0          1.0(10)0     5.0(2)S152.0

Mod Status            
--- ------------------
  0 Up Sys            
  1 Unresponsive

Solução:

Emita o comando hw-module module 1 reset em seu ASA. Esse comando executa uma reinicialização de hardware do AIP-SSM. Ele é aplicável quando a placa está em qualquer um destes estados:

• up

• down

• sem resposta

• recuperar

Se você reinicializar o ASA em um estado sem resposta, a imagem do SSM deverá ser recriada. Consulte a seção Instalação da Imagem de Sistema do AIP-SSM de Atualização, Downgrade e Instalação de Imagens de Sistema para obter mais informações e etapas sobre como recriar a imagem do AIP-SSM.

Observação: consulte a seção Recarregando, Desligando, Reinicializando e Recuperando o AIP-SSM de Configuração do ASA-SSM para obter mais informações sobre os vários comandos disponíveis para solucionar problemas do AIP-SSM.

Esse problema ocorre devido ao bug da Cisco ID CSCts58648 (somente clientes registrados) .

Não é possível acessar o AIP SSM por meio do ASDM

Problema:

Essa mensagem de erro é vista na GUI.

Error connecting to sensor. Error Loading Sensor error

Solução:

Verifique se a interface de gerenciamento IPS SSM está ativa/inativa e verifique o endereço IP configurado, a máscara de sub-rede e o gateway padrão. Esta é a interface para acessar o software Cisco Adaptive Security Device Manager (ASDM) da máquina local. Tente fazer ping do endereço IP da interface de gerenciamento do IPS SSM a partir da máquina local que você deseja acessar o ASDM. Se não for possível executar o ping, verifique as ACLs no sensor.

Problema:

A mensagem de erro cannot communicwith main app é exibida enquanto você tenta se conectar ao módulo AIP SSM.

Solução:

Recarregue o ASA ou o módulo AIP SSM para resolver esse erro.

Não é possível atualizar o IPS SSM

Problema:

A mensagem de erro Error: execUpgradeSoftware Connection failed é vista na CLI.

Solução:

Verifique se a interface de gerenciamento IPS SSM está ativa/inativa e se é a interface através da qual o ASA-IPS tenta entrar em contato para fazer o download do software. Essa não é uma conexão de backplane entre o ASA e o IPS-SSM; é a conexão Ethernet no próprio módulo AIP-SSM, que precisa ser conectada a uma porta do switch e configurada com um endereço IP, máscara de sub-rede e gateway padrão. Se o http ainda não funcionar, tente usar a opção FTP ou SCP com o comando upgrade.

Erro de atualização: execUpgradeSoftware

Problema:

O erro: execUpgradeSoftware A atualização requer 60340 KB em /usr/cids/idsRoot/var/updates, há apenas 57253 KB disponíveis. Uma mensagem de erro é vista durante a atualização.

Solução 1:

Para corrigir esse problema, você precisa fazer login na CLI do sensor com uma conta de serviço. Se você não tiver uma conta de serviço, poderá criar uma com estes comandos:

configure terminal 
user (username) priv service password (pass)
 exit

Depois de fazer login na conta de serviço, emita estes comandos rm /usr/cids/idsRoot/var/*pmz e faça logout da conta de serviço. Em seguida, verifique se a atualização foi concluída.

Solução 2:

Este erro ocorre devido à redução do espaço disponível no módulo IPS, uma vez que os arquivos de recuperação ocupam mais espaço no Módulo. Conclua estas etapas para remover arquivos de recuperação e resolver este erro:

bash-2.05b# cd /usr/cids/idsRoot/var/updates/

bash-2.05b# ls -l

drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 backups
drwxr-xr-x    2 cids     cids         1024 Oct 19 15:26 download
drwxrwxr-x    2 cids     cids         1024 Oct 19 15:26 logs
-rw-r--r--    1 root     root          183 Sep  6 21:54 package
-rw-r--r--    1 cids     cids     27587840 Jul  9  2009 recovery.gz
drwxr-xr-x    2 cids     cids         1024 Jul  1 22:35 scripts

bash-2.05b# rm recovery.gz

Não é possível conectar ao IPS com o visualizador de eventos do IPS (IEV)

Problema:

Esta mensagem de erro é exibida:

Cannot send xml document to sensor.
java.security.cert.CertificateExpiredException: NotAfter:

Solução:

Esse problema pode ser resolvido se você regenerar o certificado tls com este comando:

sensor(config)#tls generate-key

Não é possível acessar AIP-SSM

Problema:

Quando você tenta acessar o SSM, esta mensagem de erro é exibida.

Opening command session with slot 1.
Card in slot 1 did not respond to session request

Solução:

Execute o comando hw-module module 1 recover para resolver esse problema. Consulte Recuperando AIP-SSM para obter mais informações sobre esse comando.

Erro quando o módulo AIP-SSM está conectado ao ASA

Problema:

Quando você tenta inserir o módulo AIP SSM no ASA, esta mensagem de erro é exibida.

module in slot 1 experienced a channel communication failure

Solução:

Recarregue o ASA para resolver o problema. Se o problema ainda existir, entre em contato com o TAC para obter ajuda.

AIP-SSM falha após atualização de assinatura

Problema:

O AIP-SSM falha após a atualização da assinatura. A atualização de assinatura faz com que o AIP-SSM fique sem memória e não responda quando o número de assinaturas habilitado for alto.

Solução:

Redefina a definição de assinatura para resolver o problema. Se muitas assinaturas estiverem habilitadas, tente redefinir a definição da assinatura. Use SSH para acessar o sensor e use estes comandos:

configure terminal

service signature-definition sig0

default signatures

exit

exit

Problemas de latência com o sensor IPS

Problema:

O problema de latência ocorre com o sensor IPS.

Solução:

O problema de latência ocorre quando a ação de negação in-line e o pacote de negação estão habilitados para cada assinatura no VS0. Se você habilitar todas as assinaturas, isso resultará em latência, pois o IPS inspeciona cada pacote pelo qual ele passa. É bom habilitar somente a assinatura específica necessária de acordo com o fluxo de tráfego de rede para resolver o problema de latência.

Informações Relacionadas

• Página de suporte do Cisco Adaptive Security Appliance
• Suporte Técnico e Documentação - Cisco Systems