网络工程 - 查找 Cisco ASA 防火墙的相邻设备的步骤 - 吾爱随笔录

查找 Cisco ASA 防火墙的相邻设备的步骤

网络工程思科

2021-07-31 08:19:23

找到与 Cisco ASA 防火墙相邻的相邻设备的正确步骤是什么？任何人都可以帮我一步一步地完成这些步骤吗？

3个回答

思科的“我们不支持它，因为它是一种安全设备”的回答相当糟糕。

设备，如果它是一个很好的安全设备，如果他们担心的话，可以很容易地将其实现为仅被动功能。

事实上：ASA 已经收到来自其邻居的所有 CDP/LLDP 数据包，它只是不响应它们并且无法直接向您显示它们的信息。

但是，您仍然可以使用 ASA 来捕获到达它的广播，然后使用 wireshark 查看它们的内容以了解邻居是什么。

无论您是手动执行此操作，还是他们将其作为一项功能来被动地报告它们，都不会向其他主机提供有关 ASA 存在的信息。

也就是说，通过默默无闻来确保安全绝非如此。

我们有大约 23 个 ASA 在我们的环境中给予或接受，它们都很好，但是 cisco 的一些官方说法为什么事情是“为了安全”的方式，有点不诚实。

例如：

他们仍然不支持安全重新协商，他们曾经支持过，但 5 年前发现了一个错误，他们的官方解决方案是删除此安全功能而不是修复错误。

当我们进行审计时，我们必须解释这一点。

他们还完全支持这些开箱即用的协议，这很棒：

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (0xc030) ECDH secp256r1（相当于 3072 位 RSA）FS 256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (0xc02f) ECDH secp256r1（相当于 3072 位 RSA）FS 128
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (0xc027) ECDH secp256r1（相当于 3072 位 RSA）FS 128

但是，如果您启用他们为您提供的 Anyconnect 的免费许可证，那么他们会在没有警告的情况下故意放弃支持的加密，并且在使用它们进行连接时，与许多新浏览器的握手无法正确支持转发保密。

TLS_DHE_RSA_WITH_AES_256_CBC_SHA256 (0x6b) DH 2048 位 FS
TLS_DHE_RSA_WITH_AES_128_CBC_SHA256 (0x67) DH 2048 位 FS

此外，ASDM 根本不支持前向保密（至少从 7.8.11 开始），因此要使用 ASDM 来管理他们的防火墙，他们似乎要求您启用此功能（因为所有其他选项都更糟#DES/RC4 等）：

TLS_RSA_WITH_AES_256_CBC_SHA256 (0x3d) 弱

需要明确的是，RA Anyconnect 客户端软件不会改变我使用相同的客户端连接到具有“免费”许可证的系统，就像我连接到禁用免费许可证的系统一样。

现在，您可能认为他们只希望您通过付费许可使用良好的 TLS 安全性，因为他们必须编码以支持更好的 TLS 协议。

那么限制我们使用 IPSEC VPN 隧道，因为我们已经在使用它们，因为它们比您在免费许可证上允许的 HTTPS 协议更加保密。

在这种情况下，只有用户最初访问的外部网页才能登录并下载客户端，这会受到影响。

所以它实际上让我们在 ASA 上更容易受到攻击，而不是在我们的 RA VPN 连接本身上，这可能是他们试图做的？

无论如何，如果他们可以通过不实现功能、修复错误或在向您出售具有故意缺陷的产品后试图强迫您购买另一个许可证来赚更多的钱，那么这显然是他们的“首选”答案。您专门向我们出售的功能“包括 750 个免费的 RA VPN 许可证，如果您不需要为最终用户安装防火墙，则无需购买溢价”

好吧，我在这里有点抓狂了。

总而言之，如果您需要的话，有一种方法可以获取此信息，但是需要大量工作才能获得它，因此只有在您真的需要以这种方式获取它时才会费心。

从我喜欢使用的交换机端（找到您的防火墙）获取您想要的一些信息的另一种方法是将您的防火墙的 MAC 地址更改为您可以轻松找到的内容（尤其是对于我们的集群）并确保你以这样一种方式制作它们，告诉你它们的界面，这使得通过在交换机上使用 sh mac add 和 sh ip arp 可以轻松找到它们。

是的，CDP 会更好，就像我说的，如果你需要它，你可以得到它，但只能从防火墙端获取。

是的，LLDP/CDP 提供的大部分信息都可以通过大量工作来确定，如果您是安全威胁，您可能有兴趣获取其中一些信息，尽管有些信息没有用，但您可以绝对通过你自己的一些肌肉工作找到它，一个黑客，他们会有时间，无论如何他们都会这样做，每个人都争论不让他们更容易，但看看他们是否会打开所有无论如何，在你的厨房抽屉上贴上一个标签，上面写着“勺子”，另一个上面写着“盘子”，这不是一个现实的问题。

即使假设这些信息的广播梦想来自 ASA，他们仍然可以更改设备捕获并报告它，以便您可以看到它的邻居，这些可能是您控制和运行 CDP 的所有交换机，并查看其他内容ASA 不能，就像 ISP 路由器一样。

在您说的大多数 Cisco 设备上

show cdp neighbor

但我不明白的是 ASA 设备不执行 CDP。

https://supportforums.cisco.com/t5/security-management/find-out-device-directly-connected-to-cisco-asa/td-p/1959536

我相信你可以在 SNMP 中查看学习的以太网地址表，但相比之下，它的工作很困难。

ASA 是一种安全设备，因此它旨在与不受信任的设备进行通信。这意味着它不会发送或接收任何不必要的信息。所以像 CDP 这样的东西是不可用的。

通常，您可以通过 arp 获得有关相邻设备的唯一信息是 MAC 地址。

show arp

将列出 ASA 最近与之通信的所有 MAC 地址。

其它你可能感兴趣的问题

上一篇何时何地使用生成树 (Portfast) 下一篇为什么在使用“ip verify source port-security”时 DHCP 需要选项 82？