Cisco ASA VPN monitoren met WhatsUp Gold

De Cisco ASA is een van de meest gebruikte apparaten die VPN -toegang (virtual private network) biedt aan bedrijven over de hele wereld. Als uw Cisco ASA niet werkt zoals verwacht, kunnen thuiswerken en andere mensen buiten de deur mogelijk niet werken. Als de verantwoordelijke om ervoor te zorgen dat het netwerk en internet werkt zoals verwacht, wilt je zo snel mogelijk op de hoogte worden gesteld als er een probleem is. In deze blog laat ik je zien hoe je Cisco ASA VPN kunt monitoren met WhatsUp Gold, voor een algemene how-to op VPN-monitoring met WUG, bekijk mijn communitypost hier.

Wat is WhatsUp Gold?

WhatsUp Gold is een complete netwerkbewakingsoplossing waarmee u uw kritieke systemen kunt monitoren, zowel on-premise als in de cloud. WhatsUp Gold is zeer aanpasbaar en flexibel. Met WhatsUp Gold kunnen we niet alleen de status van Zoom volgen maar we kunnen ook de beschikbaarheid van uw netwerkinfrastructuur, serverinfrastructuur, opslaginfrastructuur en nog veel meer monitoren.

Hoe monitor ik mijn Cisco ASA VPN?

Met WhatsUp Gold kun je alles controleren waarover we gegevens kunnen invullen. Het maakt niet uit of die gegevens afkomstig zijn van on-premise systemen zoals jouw routers, switches, firewalls en servers of cloudomgevingen zoals AWS, Azure of Meraki en SaaS (Software as a Service) oplossingen zoals Zoom, WebEx of Office 365.

Dat gezegd hebbende, heb je meer dan waarschijnlijk altijd meerdere oplossingen om uit te kiezen bij het oplossen van "Hoe bewaak ik dit?". Voor Cisco ASA VPN stel ik voor om SNMP-traps te gebruiken die naar WhatsUp Gold zijn verzonden. WhatsUp Gold accepteert SNMP-vallen met behulp van "Passieve monitoren". Met passieve monitors kun je luisteren naar SNMP-traps, Syslog-berichten of Windows-events. Je hebt ook de mogelijkheid om 'Acties' terug te koppelen aan de ontvangen passieve monitoren, die alles kunnen omvatten, van gewoon e-mailen over het probleem om corrigerende acties uit te voeren met behulp van opdrachten die zijn verzonden door de SSH-actie van WhatsUp Gold.

Je apparaat configureren om traps te sturen

Uw Cisco-toestel is standaard niet geconfigureerd voor het verzenden van SNMP-traps. We moeten aangeven waar we onze vallen naartoe moeten sturen, evenals welke vallen we willen sturen. Ik zal u niet *PRECIES* geven wat je in jouw configuratie moet plaatsen, omdat dit kan variëren van model en IOS-revisie - maar ik kan je naar een van de juiste documentatielinks van Cisco leiden om dit te doen. Cisco's documentatie bevat ook andere SNMP-traps die je mogelijk wilt gebruiken WhatsUp Gold om naar te luisteren.

Over het algemeen moet je, om de monitor in dit artikel te laten werken, de gewenste trap naar de WhatsUp Gold-server verzenden, wat hiermee in jouw configuratie kan worden gedaan:

"snmp-server enable traps all"

De uiteindelijke configuratie ziet er ongeveer zo uit:

ASA1# show run | grep snmp
snmp-server host inside 10.225.64.2 community ***** version 2c
snmp-server enable traps syslog
snmp-server enable traps ipsec start stop
snmp-server enable traps entity config-change cpu-temperature chassis-temperature accelerator-temperature
snmp-server enable traps memory-threshold
snmp-server enable traps interface-threshold
snmp-server enable traps remote-access session-threshold-exceeded
snmp-server enable traps connection-limit-reached
snmp-server enable traps cpu threshold rising
snmp-server enable traps ikev2 start stop
snmp-server enable traps nat packet-discard
snmp-server enable traps config

Zoals je kunt zien, heb ik opgegeven waar ik mijn SNMP-traps moet verzenden en elke potentiële SNMP-trap die het apparaat kan verzenden, ingeschakeld. WhatsUp Gold zal automatisch degene weggooien waar we naar luisteren. Merk op dat er veel nuttige SNMP-vallen zijn die je voor jouw Cisco apparaten kunt maken en WhatsUp Gold kan luisteren- maak van deze gelegenheid gebruik om ook de andere mogelijkheden te verkennen. Een van de interessantere SNMP-traps die hier worden aangeboden, zijn de 'config'-vallen. Hiermee kun je WUG een SNMP trap sturen wanneer een configuratie is gewijzigd en we kunnen dat gebruiken om configuration management actie te starten in WhatsUp Gold. We zullen daar hoogstwaarschijnlijk binnenkort een bericht over hebben, dus blijf op de hoogte.

De passieve monitor luisteraar(s) inschakelen

Jouw eerste stap bij het verkrijgen van dit type bewakingsinstellingen is ervoor te zorgen dat uw WhatsUp Gold-systeem de SNMP-trap luisteraar heeft ingeschakeld. De SNMP-trap luisteraar is standaard uitgeschakeld , dus als je deze in het verleden nog nooit hebt ingeschakeld, beginnen we hier. Als je al jouw SNMP-trap luisteraar hebt ingeschakeld, kun je doorgaan naar de volgende stap 'De monitor maken'.

Het inschakelen van de SNMP-trap luisteraar is heel eenvoudig. Log in op de web interface van jouw WhatsUp Gold en navigeer vervolgens naar Settings > System settings > Passive monitor Listeners.

Vink in het dialoogvenster Passieve monitor luisteraars 'Listen for messages' aan onder 'SNMP-traps' en klik vervolgens linksonder in het dialoogvenster op 'save'. Dat is alles – je hebt de luisteraar ingeschakeld.

 

De monitor maken

Nu jouw SNMP-trap luisteraar is ingeschakeld, moeten we een SNMP-trap passieve monitor maken om een monitor te hebben die aan de Cisco ASA wordt gekoppeld, zodat WhatsUp Gold weet welke SNMP-trap(s) we willen opslaan in de database. Standaard wordt elke SNMP-trap die naar de WhatsUp Gold-server wordt verzonden en die we niet specifiek aangeven om naar te luisteren weggegooid.

Als je de monitor wilt maken, open je jouw monitor bibliotheek door naar 'Settings > Libraries > Monitors' te gaan. Klik in het dialoogvenster 'Monitor Library' op het + teken en selecteer 'Passive Monitor'.

Klik in het dialoogvenster 'Passive Monitor Type'. Selecteer de 'SNMP-Trap Monitor' en klik vervolgens linksonder op 'Select'.

Selecteer in het dialoogvenster 'Add SNMP Trap Monitor', Kies 'Enterprise Specific' onder 'Generic type (major)'. Vul de Enterprise OID in met 1.3.6.1.4.1.9.9.171.2.0 -- dit is de enterprise OID van Cisco's cipSecMIBNotifications, die bevat alle vallen waar we hier om geven. Voor het 'Specifieke type (Minor) ga ik 'Any' gebruiken in het voorbeeld. Dit betekent dat ongeacht welke trap wordt verzonden, als de traps objectID begint met 1.3.6.1.4.1.9.9.171.2.0 deze monitor het zal bewaken. Je kunt ook specifieke monitoren maken voor elke specifieke voorwaarde als je dat wilt, met behulp van een enkel cijfer 1-13 in de sectie 'Specific type (minor)'. Als ik bijvoorbeeld een monitor alleen voor 'cikeTunnelStop' wilde  zou ik er een 2 zetten.

 

Als je op 'Browse' klikt, zie je alle volgende SNMP-traps en het bijbehorende 'minor'-nummer. Ik zal hier een korte lijst plaatsen voor eenvoudige referentie:

  1. cikeTunnelStart : Deze melding wordt gegenereerd wanneer een IPsec Fase-1 IKE Tunnel actief wordt
  2. cikeTunnelStop : Deze melding wordt gegenereerd wanneer een IPsec Fase-1 IKE Tunnel inactief wordt
  3. cikeSysFailure : Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Fase-1 IKE Tunnel een interne of systeemcapaciteitsfout ervaart.
  4. cikeCertCrlFailure : Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Fase-1 IKE Tunnel een certificaat of een crl-gerelateerde fout (Certificate Revoke List) ervaart.
  5. cikeProtocolFailure : Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Fase-1 IKE Tunnel een protocol gerelateerde fout ervaart.
  6. cikeNoSa : Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Fase-1 IKE-tunnel een niet-bestaande beveiligingskoppelingsfout ervaart.
  7. cipSecTunnelStart : Deze melding wordt gegenereerd wanneer een IPsec Phase-2 Tunnel actief wordt.
  8. cipSecTunnelStop : Deze melding wordt gegenereerd wanneer een IPsec Phase-2 Tunnel inactief wordt. 
  9. cipSecSysFailure: Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Phase-2 Tunnel een interne of systeemcapaciteitsfout ervaart.
  10. cipSecSetUpFailure: Deze melding wordt gegenereerd wanneer de installatie voor een IPsec Phase-2 Tunnel mislukt.
  11. cipSecEarlyTunTerm: Deze melding wordt gegenereerd wanneer een IPsec Phase-2 Tunnel wordt beëindigd of voor verwacht.
  12. cipSecProtocolFailure: Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Phase-2 Tunnel een protocolgerelateerde fout ervaart.
  13. cipSecNoSa: Deze melding wordt gegenereerd wanneer de verwerking voor een IPsec Phase-2 Tunnel een niet-bestaande beveiligingskoppelingsfout ervaart.

De monitor toewijzen aan jouw apparaat

Zodra jouw monitor (of monitoren) zijn gemaakt, wijs je de monitor gewoon toe aan de juiste apparaten. Dat kan in bulk vanuit 'My Network'. Ga naar een groep of gebruik filters om de devices weer te geven waaraan je de monitor wilt toevoegen, selecteer ze en klik met de rechtermuisknop op een van de apparaten en navigeer naar 'Edit Devices > Assign Monitors > Passive Monitor(s).'

Selecteer in het volgende dialoogvenster SNMP-traps als 'Passive Monitor Type', selecteer de passieve monitor die je zojuist hebt gemaakt en klik vervolgens op OK. Jouw apparaten luisteren nu naar deze traps!

Test jouw monitor

Het is wat moeilijker om passieve monitoren te testen. Aangezien WhatsUp Gold naar een bericht luistert in plaats van iets actief te controleren (ala actieve monitoren), moeten we de werkelijke gebeurtenis die zich op de een of andere manier voordoet, simuleren. Misschien kun je zelf een testtunnel maken. Ik ben op geen enkele manier een expert op het gebied van Cisco-configuraties, dus jouw beste kans is, indien nodig, om met Cisco-support te praten.

Wat doet deze monitor precies?

Kortom, elke keer dat de status van jouw VPN-tunnels verandert of mislukt om welke reden dan ook, wordt een SNMP-trap naar WhatsUp Gold verzonden en kunnen we ofwel waarschuwen (bijvoorbeeld een e-mailactie, sms-actie triggeren), of een corrigerende actie uitvoeren (bijvoorbeeld SSH-actie, PowerShell-actie), of zelfs een combinatie van beide.

Nog even dit

Je kunt ook gebruikmaken van de apparaatrollen van WhatsUp Gold om deze passieve monitor automatisch aan jouw firewalls toe te voegen als dat nodig is. Je kunt dit doen door de ingebouwde firewall-subrol te wijzigen of jouw eigen rol/subrol te maken als je dat wilt. We zullen in de toekomst een andere blog plaatsen over apparaatrollen in het algemeen.

Wat nog meer?

Je hebt nu de mogelijkheid om acties te koppelen aan je monitor. Acties kunnen e-mails, sms-berichten en nog veel meer omvatten. Onthoud dat dit slechts *ONE* van *MANY* verschillende manieren is om dit binnen WhatsUp Gold te bereiken. Ik zou bijvoorbeeld kunnen kijken naar individuele statistieken die specifiek zijn voor elke tunnel of zelfs individuele gebruikersstatistieken. Ik kan hier doorgaan, maar daar laten we het voorlopig bij. Veel plezier met de monitoring!

 

Tags

Comments
Comments are disabled in preview mode.