Cisco ASA ASDM и Java 7 update 51   (Дата: 20.03.2014)

Итак, зная, насколько небезопасна Java и сколько в ней регулярно обнаруживается критических уязвимостей, вы обновили Java до свежей версии Java 7 апдейт 51.

Вероятнее всего, после этого перестанет работать Cisco ASDM-IDM.

Если при попытке подключения к Cisco ASA ASDM появляются ошибки вида:

“Unable to launch device manager from X.X.X.X”

или

"Unable to launch the application"

то это именно наш случай.

И связан он с несовместимостью ASA ASDM c Java 7 Update 51, о чем и говориться в последнем Release Notes к ASDM 7.1(x).

В таблице “Table 2 Caveats for ASDM Compatibility” рассмотрены эти причинно-следственные связи, а также способы борьбы с последствиями.

Как известно, ASDM может запускаться либо как предварительно установленное локальное приложение ASDM- Launcher, либо как приложение Java Web Start из браузера.

ASA ASDM

В первом случае, для запуска ASDM-Launcher теперь требуется действительный доверенный сертификат на ASA. Само-подписанный сертификат уже не пройдет, он должен быть из списка известных CA. Для подавляющего большинства случаев это не выход.

Как вариант, Cisco предлагает установить предыдущую версию Java 7 Update 45 или более раннюю.

Во втором случае, для запуска ASDM через Java Web Start, требуется обновить ASDM на ASA до версии 7.1(5.100) и старше. Образ ASDM имеет имя asdm-715-100.bin.

Если вы все же хотите оставить текущую версию ASDM, то можно добавить исключения безопасности для ASA через Java Control Panel: http://java.com/en/download/help/java_blocked.xml

Там надо просто указать URL, по которому мы заходим на ASA. Например, https://192.168.1.3

ASA ASDM

Рекомендуемый краткий алгоритм действий:

1. Добавить исключения безопасности для URL ASA через Java Control Panel. Если при запуске ASDM через Java Web Start – Run ASDM все же возникает ошибка, то выполняем пункт 2.

2. Установить на ASA образ ASDM asdm-715-100.bin, скопировав его на disk0: и указав его в конфигурации в качестве рабочего:

ASA(config)# dir

Directory of disk0:/

10     drwx  8192         08:58:46 Jul 13 2009  log
20     drwx  8192         14:11:46 May 09 2009  crypto_archive
155    -rwx  27076608     12:03:52 Feb 05 2014  asa914-k8.bin
21     drwx  8192         09:01:10 Jul 13 2009  coredumpinfo
157    -rwx  636          10:38:40 Jul 07 2010  Template
158    -rwx  331184       20:00:16 Aug 04 2013  crash.txt
162    -rwx  22824520     12:24:28 Feb 05 2014  asdm-715-100.bin
165    -rwx  0            09:54:56 Jan 11 2013  nat_ident_migrate
167    -rwx  9914         10:47:24 Aug 05 2013  config.txt

255426560 bytes total (91545600 bytes free)
        

3. Запускать ASDM только через Java Web Start – Run ASDM

Что касается самой настройки Cisco ASA и PIX, подключения и работы с ASDM, то все эти вопросы очень детально рассматриваются в моем видео курсе «Настройка межсетевых экранов Cisco ASA и PIX»

Настройка ASA

В курсе разбирается настройка с нуля Cisco ASA серии 5500, включая ASA 5505, 5510, 5520 и более старшие модели классических межсетевых экранов Cisco.

Для настройки используются как командная строка CLI, так и графический интерфейс ASDM.

Также дан обзор нового функционала и возможностей современной линейки ASA 5500-X, включая модели ASA 5512-X, ASA 5515-X, ASA 5525-X, ASA 5545-X, ASA 5555-X, ASA CX, ASA SM и ASA 1000V.

Все подробности по ссылке: «Настройка межсетевых экранов Cisco ASA и PIX»

 

Автор: Алексей Николаев, CCIE #27142 (Security)

Метки: ASA, ASDM

 

На главную ›