Das Cisco ASA ist eines der am häufigsten verwendeten Geräte, das VPN (Virtual Private Network)-Zugriff für Unternehmen rund um den Globus ermöglicht. Wenn Ihr Cisco ASA nicht wie erwartet funktioniert, können Ihre Remote-Mitarbeiter möglicherweise überhaupt nicht arbeiten. Sie als für das einwandfreie Funktionieren zuständige Person sollten unverzüglich benachrichtigt werden, falls ein Problem auftritt. In diesem Beitrag zeige ich Ihnen, wie Sie Cisco ASA VPN mit WhatsUp Gold überwachen können. Eine allgemeine Anleitung zur Überwachung von VPM mit WhatsUp Gold finden Sie hier in meinen Community-Beitrag.
Was ist WhatsUp Gold?
WhatsUp Gold ist eine umfassende Netzwerk-Monitoring-Lösung, mit der Sie Ihre geschäftskritischen Systeme, ob lokal oder in der Cloud, überwachen können. WhatsUp Gold zeichnet sich durch hohe Anpassbarkeit und Flexibilität aus. Mit WhatsUp Gold können wir nicht nur den Status von Zoom überwachen, wir können auch die Verfügbarkeit Ihrer Netzwerkinfrastruktur, Serverinfrastruktur und Speicherinfrastruktur überwachen, und vieles mehr.
Wie überwache ich mein Cisco ASA VPN?
Mit WhatsUp Gold können Sie alles überwachen, über das wir Daten eingeben können. Dabei spielt es keine Rolle, ob diese Daten aus On-Premise-Systemen wie Routern, Switches, Firewalls und Servern stammen, oder aus Cloud-Umgebungen wie AWS, Azure oder Meraki und aus SaaS (Software as a Service)-Lösungen wie Zoom, WebEx oder Office 365.
Daher werden Sie mit großer Wahrscheinlichkeit immer mehrere Lösungen zur Auswahl haben, wenn es darum geht, die Frage „Wie überwache ich das?“ zu beantworten. Für Cisco ASA VPN würde ich vorschlagen, SNMP-Traps zu verwenden, die an WhatsUp Gold gesendet werden. WhatsUp Gold akzeptiert SNMP-Traps über „Passive Monitore“. Passive Monitore ermöglichen es SNMP-Traps, Syslog-Meldungen oder Windows-Ereignissen zu überwachen. Sie können mit den passiven Monitoren auch „Aktionen“ verknüpfen. Dies kann alles Mögliche sein, von einfachen E-Mails über das Problem bis hin zur Ausführung von Korrekturmaßnahmen mithilfe von Befehlen, die von der SSH-Aktion von WhatsUp Gold gesendet werden.
Konfigurieren Ihres Geräts für das Senden von Traps
Standardmäßig ist Ihre Cisco Appliance nicht für das Senden von SNMP-Traps konfiguriert. Wir müssen angeben, wohin die Traps gesendet werden sollen und welche Traps wir senden möchten. Ich gebe Ihnen nicht *GENAU* an, was Sie in Ihre Konfiguration eingeben sollen. Dies kann je nach Modell und IOS-Version variieren. Ich kann Sie aber auf einen der entsprechenden Dokumentations-Links von Cisco verweisen. Die Dokumentation von Cisco umfasst auch noch weitere SNMP-Traps, die Sie für WhatsUp Gold verwenden könnten.
Damit der Monitor in diesem Artikel funktioniert, müssen Sie in der Regel den gewünschten Trap an den WhatsUp Gold-Server senden. Fügen Sie dazu Ihrer Konfigurationsdatei Folgendes hinzu:
snmp-server enable traps all
Die endgültige Konfiguration sieht dann ungefähr so aus:
| ASA1# show run | grep snmp snmp-server host inside 10.225.64.2 community ***** version 2c snmp-server enable traps syslog snmp-server enable traps ipsec start stop snmp-server enable traps entity config-change cpu-temperature chassis-temperature accelerator-temperature snmp-server enable traps memory-threshold snmp-server enable traps interface-threshold snmp-server enable traps remote-access session-threshold-exceeded snmp-server enable traps connection-limit-reached snmp-server enable traps cpu threshold rising snmp-server enable traps ikev2 start stop snmp-server enable traps nat packet-discard snmp-server enable traps config |
Wie Sie feststellen können, habe ich angegeben, wohin meine SNMP-Traps gesendet werden sollen. Außerdem habe ich jeden einzelnen potenziellen SNMP-Trap aktiviert, den das Gerät senden kann.
WhatsUp Gold verwirft automatisch alle Traps, die wir abhören. Beachten Sie, dass es viele nützliche SNMP-Traps gibt, die Ihre Cisco-Geräte generieren können und die WhatsUp Gold abhören kann. Nutzen Sie diese Gelegenheit, um auch die anderen Möglichkeiten zu erkunden. Zu den interessanteren SNMP-Traps hier gehören die „config“-Traps. Damit können Sie veranlassen, dass bei jeder Konfigurationsänderung ein SNMP-Trap an WhatsUp Gold gesendet wird, und wir können damit die Konfigurationsmanagement-Aktion in WhatsUp Gold starten. Wahrscheinlich wird es bald einen Beitrag dazu geben. Also halten Sie danach Ausschau.
Den/die Listener des passiven Monitors aktivieren
Der erste Schritt bei dieser Art von Monitoring-Einrichtung besteht darin, sicherzustellen, dass der SNMP-Trap-Listener Ihres WhatsUp Gold-Systems aktiviert ist. Der SNMP-Trap-Listener ist standardmäßig deaktiviert. Wenn Sie ihn bisher noch nie aktiviert haben, beginnen wir also damit. Wenn Sie den SNMP-Trap-Listener bereits aktiviert haben, können Sie diesen Schritt überspringen und mit „Den Monitor erstellen“ fortfahren.
Den SNMP-Trap-Listener zu aktivieren, ist sehr einfach. Melden Sie sich an der Web-Schnittstelle von WhatsUp Gold an und navigieren Sie dann zu „Einstellungen > Systemeinstellungen > Listener des passiven Monitors“.
Aktivieren Sie im Dialogfeld „Listener des passiven Monitors“ unter „SNMP-Trap-Einstellungen“ die Option „Auf Nachrichten abhören“ und klicken Sie dann unten links in dem Dialogfeld auf „Speichern“. Das war es auch schon. Sie haben den Listener aktiviert.
Den Monitor erstellen
Nachdem der SNMP-Trap-Listener aktiviert wurde, müssen wir einen passiven SNMP-Trap-Monitor erstellen. Denn wir brauchen einen Monitor, um ihn mit dem Cisco ASA zu verknüpfen, damit WhatsUp Gold weiß, welchen bzw. welche SNMP-Trap(s) wir in der Datenbank speichern möchten. Standardmäßig wird jeder an den WhatsUp Gold-Server gesendete SNMP-Trap verworfen, den wir in WhatsUp Gold nicht explizit zum Überwachen angegeben haben.
Um den Monitor zu erstellen, rufen Sie die Monitorbibliothek auf. Navigieren Sie dazu zu „Einstellungen > Bibliotheken > Monitore“. Klicken Sie im Dialogfeld „Monitorbibliothek“ auf das Pluszeichen (+) und wählen Sie „Passiver Monitor“ aus.
Klicken Sie im Dialogfeld „Typ des passiven Monitors“ auf „SNMP-Trap-Monitor“, und klicken Sie dann unten links auf „Auswählen“.
Wählen Sie im Dialogfeld „SNMP-Trap-Monitor hinzufügen“ unter „Generischer Typ (Major)“ die Option „Unternehmensspezifisch“ aus. Geben Sie die Unternehmens-OID mit 1.3.6.1.4.1.9.9.171.2.0 ein. Dies ist die Unternehmens-OID von Cisco cipSecMIBNotifications, die alle Traps enthält, die wir hier verwenden möchten. Für „Spezifischer Typ (Minor)“ verwende ich in diesem Beispiel „Beliebig“. Dies bedeutet Folgendes, unabhängig davon, welcher Trap gesendet wird: Wenn die Objekt-ID eines Traps mit 1.3.6.1.4.1.9.9.171.2.0 beginnt, wird er von diesem Monitor erfasst. Sie können auch spezifische Monitore für jede spezifische Bedingung erstellen, falls Sie das möchten. Dazu verwenden Sie im Abschnitt „Spezifischer Typ (Minor)“ eine einzelne Zahl zwischen 1 und 13. Wenn ich beispielsweise einen Monitor nur für „cikeTunnelStop“ erstellen möchte, würde ich eine 2 angeben.
Wenn Sie auf „Durchsuchen“ klicken, werden alle nachstehenden SNMP-Trap-Definitionen und die jeweils zugeordnete „Minor“-Nummer angezeigt. Hier eine Übersicht zur einfachen Referenz:
- cikeTunnelStart: Diese Benachrichtigung wird generiert, wenn ein IPsec Phase-1 IKE-Tunnel aktiv wird.
- cikeTunnelStop: Diese Benachrichtigung wird generiert, wenn ein IPsec Phase-1 IKE-Tunnel inaktiv wird.
- cikeSysFailure: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-1 IKE-Tunnel ein interner oder systembezogener Kapazitätsfehler auftritt.
- cikeCertCrlFailure: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-1 IKE-Tunnel ein zertifikats- oder CRL-bezogener Fehler auftritt.
- cikeProtocolFailure: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-1 IKE-Tunnel ein protokollbezogener Fehler auftritt.
- cikeNoSa: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-1 IKE-Tunnel ein Fehler wegen nicht vorhandener Sicherheitszuordnung auftritt.
- cipSecTunnelStart: Diese Benachrichtigung wird generiert, wenn ein IPsec Phase-2-Tunnel aktiv wird.
- cipSecTunnelStop: Diese Benachrichtigung wird generiert, wenn ein IPsec Phase-2-Tunnel inaktiv wird.
- cipSecSysFailure: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-2-Tunnel ein interner oder systembezogener Kapazitätsfehler auftritt.
- cipSecSetUpFailure: Diese Benachrichtigung wird generiert, wenn die Einrichtung für einen IPsec Phase-2-Tunnel fehlschlägt.
- cipSecEarlyTunTerm: Diese Benachrichtigung wird generiert, wenn ein IPsec Phase-2-Tunnel frühzeitig oder vor dem erwarteten Zeitpunkt beendet wird.
- cipProtocolFailure: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-2-Tunnel ein protokollbezogener Fehler auftritt.
- cipSecNoSa: Diese Benachrichtigung wird generiert, wenn bei der Verarbeitung für einen IPsec Phase-2-Tunnel ein Fehler wegen nicht vorhandener Sicherheitszuordnung auftritt.
Den Monitor Ihrem Gerät zuweisen
Nachdem der Monitor (oder die Monitore) erstellt wurden, weisen sie ihn einfach den entsprechenden Geräten zu. Über „Mein Netzwerk“ können Sie mehrere Geräte gleichzeitig zuweisen. Navigieren Sie zu einer Gruppe oder verwenden Sie Filter, um die Geräte anzuzeigen, denen Sie den Monitor zuweisen möchten. Wählen Sie diese Geräte aus, klicken Sie mit der rechten Maustaste auf eines der Geräte und navigieren Sie zu „Geräte bearbeiten > Monitor zuweisen > Passiver Monitor“.
Wählen Sie im nächsten Dialogfeld für „Typ des passiven Monitors“ die Option „SNMP-Trap“ aus. Wählen Sie den gerade erstellten passiven Monitor aus und klicken Sie dann auf „OK“. Ihre Geräte überwachen jetzt auf diese Traps!
Den Monitor testen
Nun, es ist etwas schwieriger, passive Monitore zu testen. Da WhatsUp Gold auf Nachrichten überwacht und nicht aktiv Abfragen ausführt (wie aktive Monitore), müssen wir das tatsächlich auftretende Ereignis irgendwie simulieren. Sie könnten beispielsweise einen Test-Tunnel erstellen und diesen dann starten und stoppen. Ich bin keinesfalls ein Experte für Cisco-Konfigurationen. Daher würde ich Ihnen empfehlen, sich bei Bedarf an den Cisco-Support zu wenden.
Was also genau macht dieser Monitor?
Kurz gesagt: Jedes Mal, wenn sich der Status Ihrer VPN-Tunnel ändert oder diese aus irgendeinem Grund fehlschlagen, wird ein SNMP-Trap an WhatsUp Gold gesendet. Dann können wir entweder eine Warnmeldung ausgeben (Beispiel: E-Mail-Aktion, SMS-Aktion), eine Korrekturmaßnahme ausführen (Beispiel: SSH-Aktion, PowerShell-Aktion), oder eine Kombination aus beiden Methoden anwenden.
Schlussbemerkungen
Sie könnten auch die Geräterollen von WhatsUp Gold nutzen, um den passiven Monitor automatisch zu Ihren Firewalls hinzuzufügen. Dazu können Sie entweder die integrierte Firewall-Subrolle ändern oder ggf. eine eigene Rolle/Subrolle erstellen. Es wird bald einen weiteren Beitrag über Geräterollen im Allgemeinen geben.
Was noch?
Sie sind jetzt in der Lage, Aktionen mit Ihrem Monitor zu verknüpfen. Aktionen können E-Mails, Textnachrichten und vieles mehr sein. Denken Sie daran, dass dies nur *EINE* von *VIELEN* verschiedenen Möglichkeiten, dies innerhalb von WhatsUp Gold durchzuführen. Ich könnte beispielsweise einzelne, für jeden Tunnel spezifische Statistiken oder sogar einzelne Benutzerstatistiken anzeigen. Ich könnte noch viel mehr sagen, möchte es aber zunächst hierbei belassen. Frohes Monitoring!
Sie möchten mehr erfahren? Probieren Sie es selbst aus und laden Sie über den Link eine kostenlose Testversion herunter.