Назад | Перейти на главную страницу

Мониторинг последней версии Cisco Adaptive Security Appliance (ASA)

Как автоматически проверять, установлена ​​ли на вашем Cisco ASA самая последняя или неуязвимая версия с внешним мониторингом?

С помощью SNMP вы можете получить номер версии ASA:

$ snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0
iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"

Но я не могу найти ничего (база данных URL / API / CVE), чтобы сравнить это или проверить, есть ли в этой версии известные уязвимости.

Различные плагины Nagios, которые я могу найти (например, check_snmp_checklevel и nm_check_version) тоже не делайте этого. Они просто позволяют проверить версию в файле конфигурации.

Страницы вроде эти есть информация о версии, но разбор, конечно, ненадежен.

Cisco ASA имеет функцию проверки обновлений, которая должна иметь какой-то проверяемый URL, но у нас нет учетной записи cisco.com. И я не знаю, что это за URL, и, вероятно, это https, поэтому его нюхание не помогает. При этом, если люди знают защищенный паролем URL-адрес обновления, я с радостью воспользуюсь им.

Изменить: это еще сложнее, потому что это CVE заявляет, что для версии 9.8 исправлена ​​версия 9.8.2.28. Но этот уровень исправлений не отображается ни в SNMP, ни в графическом интерфейсе пользователя в разделе «О ASA» ...

Кто-то еще указал мне, что интерактивная веб-форма запрашивает URL который получает данные JSON о версии.

У него даже есть поле isSuggested, так что вам не нужно знать, является ли это новейшим выпуском функции, но только версия вашей ветки функции, у вас есть предлагаемая версия.

Это немного похоже на URL-адрес, который в какой-то момент может измениться, но он работает.

Просматривая эту документацию, я вижу, с чего начинаются ваши проблемы.

Попробуйте выполнить эту команду show version | include image вы должны увидеть следующий результат: System image file is "disk0:/asa982-28-smp-k8.bin"

Из того, что я вижу в Промежуточные примечания к выпуску Cisco это будет прямой способ получить информацию о выпуске и сборке.

В таком случае

Revision: Version 9.8(2)28 – 04/18/2018 Files: asa982-28-smp-k8.bin

Похоже, что информация о версии встроена в имя файла.

Version X.Y(I)J File: asaXYI-J-smp-k8.bin

Конечно, это кладж, но вы можете:

  1. Подключите Nagios SSH к ASA
  2. Захватить show version | include image
  3. Разберите имя файла с именем версии.
  4. Проверьте версию по какому-либо внешнему источнику.
  5. Верните успех или неудачу в нагиос.

Обновление на основе вашего комментария:

Вам понадобится что-то сверхмощное, если вы не хотите проанализировать веб-страницу уже указаны для данных. Кто-то должен связать между собой патчи от поставщиков, рекомендации по безопасности от поставщиков и CVE. Это нетривиальный процесс.

Несс и OpenVAS есть каналы безопасности, которые пытаются связать эти три типа данных.

Эти и им подобные инструменты будут сканировать вашу сеть, сравнивать версии и конфигурации с минимальной версией или базовой конфигурацией. Создайте отчет с рекомендациями. А затем отслеживайте свой прогресс в достижении этих минимальных уровней.

Если вы не хотите делать все это, вам, вероятно, лучше проанализировать веб-страницу и оставаться на вершине CVE для Cisco ASA.