イントロダクション

このドキュメントでは、Cisco ASDMのアクセスのための基本的な設定およびトラブルシューティングのステップについて記載します。

Cisco ASDMは、シスコのセキュリティアプライアンス等のセットアップ、設定、および管理を簡単にする直観的なグラフィカルユーザインターフェイスが搭載されています。Cisco ASDMは、ローカルアプリケーションまたはJava Web Startアプリケーションとして実行できます。

以下よりCisco ASDM使用の際に起こりうる、一般的な問題の概要について説明します。

 基本的なコンフィグレーション

!-- Enable listening on port 443 --!
http server enable

!-- Define what subnets on what interface are allowed to access the ASDM--!
http <ip subnet> <subnet mask> <interface>

!-- Specify an ASDM image in case of multiple images on the Flash --!
asdm image <path>

設定例：

http server enable
http 192.168.1.0 255.255.255.0 inside
asdm image flash:/asdm-623.bin

確認例:

show asp table socket
Protocol               Socket                  Local Address               Foreign Address         State
SSL                     0000375f              192.168.1.1:443            0.0.0.0:*                    LISTEN
!-- This shows that the ASA is listening on its interface on port 443 --!

トラブルシューティング方法

ステップ1：　アクセスできるPC /ラップトップからASAにpingできるかどうかを確認します。

ステップ2：　コンフィギュレーションが適切であるか確認します。
show run http [httpサーバが有効になっているかどうかをチェックし、アクセスしようとしているインターフェイスでhttpアクセスが許可されていることを確認します] 

show run asdm [asdmイメージが記述されており、バージョンがASAイメージバージョンと互換性があることを確認します。]

show flash [上記のasdmイメージがフラッシュにあるか確認します。]

ステップ3：　ASAがインターフェイス上でhttps要求をリッスンしていることを確認します

show asp table socket [Local Addressの下に<interface ip>：<http server port>が表示され、LISTEN状態になっているはずです。

ステップ4：　ステップ1から3が正しく行われている場合、次のセクションで述べる問題の1つにあてはまるかもしれません。

アクセスエラー

各例のインターフェイスIPは 10.76.75.48を利用してます。

ASDM Launcher Fails

以前ASDMのアクセスはhttps://10.76.75.48経由で動作していましたが、デスクトップ上のショートカットからだと動作しません。

解決方法

ASDMランチャーは、Windows上の64ビットJavaバージョンでは機能しませんので、WebブラウザからASDMにアクセスしてください。

HTTP 404 not found (type 1)

10.76.75.48にpingが成功 。 ウェブブラウザにhttps://10.76.75.48と入力します。「Certificate Error: Navigation Blocked” page」ページが表示されます。次に、「Continue to the Website」をクリックすると、HTTP 404 not found表示されます。

ASAでのDebug HTTPは以下の出力となります：

HTTP: processing GET URL '/' from host 64.103.226.131
HTTP: redirecting to: /admin/public/index.html
HTTP: session verified =  [0]
HTTP: processing GET URL '/admin/public/index.html' from host 64.103.226.131
HTTP: authentication not required
HTTP: file not found: public/index.html

 解決方法
 "asdm image xxx"コマンドを設定してるか確認してください。 注：コマンドを追加し、ASDMからログインして削除しても、ブラウザの履歴/キャッシュにそのファイルが存在する限り、新しくASDMアクセスは引き続き機能します。

HTTP 404 not found (type 2)

10.76.75.48にpingが成功。ウェブブラウザにhttps://10.76.75.48と入力します 。しばらくして、HTTP 404 not foundが表示されます。

ログの出力例:

%ASA-3-710003: TCP access denied by ACL from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-7-710005: TCP request discarded from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-3-710003: TCP access denied by ACL from 64.103.226.131/3212 to outside:10.76.75.48/443
%ASA-7-710005: TCP request discarded from 64.103.226.131/3212 to outside:10.76.75.48/443

キャプチャ表示例:

17: 23:27:51.854844 64.103.226.131.3212 > 10.76.75.48.443: S 247161576:247161576(0) win 64512 <mss 1260,nop,nop,sackOK>
18: 23:27:54.806019 64.103.226.131.3212 > 10.76.75.48.443: S 247161576:247161576(0) win 64512 <mss 1260,nop,nop,sackOK>

解決方法

ASAがそのインターフェイスでリッスンしているかどうかを確認するには、show asp table socketの出力を確認します。 コンフィギュレーションに不備があるか、または 更なる分析が必要な問題にヒットしているからかもしれません。

WebVPN conflict

10.76.75.48にpingが成功 。ウェブブラウザにhttps://10.76.75.48と入力します。 Cisco SSL VPNサービスが起動し、ログインク情報の入力を求めるプロンプトが表示されます。

解決方法

webvpnがポートを使用するので、asdmを443以外のポートで実行するように設定します。 ASDMにアクセスするため、http server enable XXを使用し、443ではなくXXポートでリスニングを有効にし、https://10.76.75.48:XXと入力します。

または、SSL VPNにアクセスするためにhttps://10.76.75.48を使用し、ASDMにアクセスするためにhttps://10.76.75.48/adminを使用してください。

Weak Encryption 

10.76.75.48にpingが成功。Webブラウザにhttps：//10.76.75.48と入力します。 下記のエラーメッセージが表示されます。

ASAのデバッグレベルログ：

%ASA-7-725011: Cipher[1] : DHE-DSS-AES256-SHA
%ASA-7-725011: Cipher[2] : AES256-SHA
%ASA-7-725011: Cipher[3] : DHE-RSA-AES256-SHA
%ASA-7-725011: Cipher[4] : DHE-RSA-AES128-SHA
%ASA-7-725011: Cipher[5] : DHE-DSS-AES128-SHA
%ASA-7-725011: Cipher[6] : RC4-MD5
%ASA-7-725011: Cipher[7] : RC4-SHA
%ASA-7-725011: Cipher[8] : AES128-SHA
%ASA-7-725011: Cipher[9] : EDH-RSA-DES-CBC3-SHA
%ASA-7-725011: Cipher[10] : EDH-DSS-DES-CBC3-SHA
%ASA-7-725011: Cipher[11] : DES-CBC3-SHA
%ASA-7-725014: SSL lib error. Function: SSL3_GET_CLIENT_HELLO Reason: no shared cipher
%ASA-6-302014: Teardown TCP connection 79 for outside:64.103.226.131/4514 to identity:10.76.75.48/443 duration 0:00:00 bytes 7 TCP Reset by appliance

これは、ASAで使用されているSSL暗号化規格がブラウザで使用されているものと一致しないことを示しています。 ASAで使用されているものを表示させるには、show run all sslというコマンドを入力してください。

次のようなものが表示されます。ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1

解決方法

Configモードで、ssl encryption rc4-sha1 aes128-sha1 aes256-sha1 3des-sha1 というコマンドを入力してください。 ライセンスエラーが発生した場合は、VPN-AES-3DESライセンスを調達して適用してください。この手順は、次のリンクから確認できます： Obtaining a 3DES/AES License 。 ライセンスが適用されたら、再度コマンドを入力してください。

Java not installed on computer

Webブラウザにhttps://10.76.75.48と入力します。そして、ASDMページで次のオプションが表示されます。

 
解決方法

“Install Java Web Start”をクリックすると、必要なJavaバージョンがインストールされます。 また、インターネットから最新のJAVA JREをダウンロードしてインストールすることもできます。  

Incompatible Java Version

10.76.75.48にpingが成功。 ウェブブラウザにhttps://10.76.75.48と入力します。ログイン情報を入力後、ロードプロセスが開始されますが、ここで停止してしまう。 このエラーは、5.0（x）のような古いASDMバージョンで見られた事象です。(訳者注釈：ASDM 5.xは 2017年現在サポート対象外です。）

解決方法

Javaをベースバージョンにダウングレードします。たとえば、上記のスクリーンショットでは、使用しているJREがJava 6アップデート20であることがわかります。それをアンインストールし、Java 6ベースバージョンをインストールします。バーが100％になるとすぐにASDMスクリーンがロードされます。使用しているASDMのバージョンが5.0（9）未満の場合は、5.0（9）にアップグレードします。

その他 秘訣とコツ

ASDMにアクセスする以外にも、https://<interface ip>/ ... urlで他にもいくつかできる事があります。

showコマンドを HTTPSから実行する
アドレスバーに下記ように入力すると、ブラウザにすべてのshowコマンドの出力を表示できます。

https://<interface ip>/admin/exec/show [command] 

操作例
https://10.76.75.48/admin/exec/show run は、実行コンフィギュレーションをブラウザに表示します。

Text based Monitoring

接続数、xlate数、メモリブロック使用量などの基本情報のほとんどをリアルタイムで監視できます。https://<interface ip>/admin/ asdm_handlerは10秒ごとに統計を表示します。これら情報は特定のシナリオで役立つかもしれません。

操作例

以下は https://10.76.75.48/admin/asdm_handlerの、ブラウザ上の表示例です。

METRICS_INFO|BEGIN
 TIMESTAMP|1300332039|UTC|0
 VERSION|ASA|8.0(4)|pdm|6.3(5)
 UPTIME|12083|CONFIG_MOD|370|CONFIG_SAVED|294|CONFIG_STATUS|0x0
 INTERFACE|man|up|UP|IP|10.76.75.56|MASK|255.255.255.192|IBC|207|OBC|342|IPC|4|... <o/p deprecated>
 MEM|FREE|1919075000|USED|149167432|
 CPU|0|
 BLOCK|ABLK0|700|UBLK0|0|ABLK4|99|UBLK4|1|ABLK80|700|UBLK80|0|ABLK256|100|........ <o/p deprecated>
 PERFMON|XLATES|0|CONNECTIONS|0|TCP CONNS|0|UDP CONNS|0|URLS|0|URLSERVER|0|....... <o/p deprecated>
 CONN|CUR|1|MAX|2|
 XLATE|CUR|0|MAX|0|
 SA|ISAKMP_SAS|0|IPSEC_SAS|0|
 TUNNEL|L2TP_SESS|0|L2TP_TUNN|0|WEBVPN_SESS|0|SVC_SESS|0|TOTAL_SESS|0|
 METRICS_INFO|END

関連情報

Javaバージョンのアーカイブ
http://www.oracle.com/technetwork/java/archive-139210.html

ASDMリリースノートのリスト
http://www.cisco.com/en/US/products/ps6121/prod_release_notes_list.html

3DES / AESライセンスの取得
http://www.cisco.com/en/US/docs/security/asa/asa80/getting_started/asa5500/quick/guide/DESlic.html

ASDM 6.xを使用したASDMイメージのアップグレード
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#asdm6.x2

CLIを使用したASDMイメージのアップグレード
http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008067e9f9.shtml#maintask21

Cisco ASDMの使用/アクセスに関する問題に関する文書
http://www.cisco.com/en/US/products/ps6121/products_tech_note09186a0080aaeff5.shtml

Telnet / ssh / httpsのASAへのアクセスに関するトラブルシューティングに関する文書
https://supportforums.cisco.com/docs/DOC-13012

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733

*Thanks to the auther, Mr. Shrinkant Sundaresh.

This document is translated from the below original document.
https://supportforums.cisco.com/t5/security-documents/asdm-access-troubleshooting/ta-p/3122148