监控最新版本的思科自适应安全设备(ASA)

前端之家收集整理的这篇文章主要介绍了监控最新版本的思科自适应安全设备(ASA)前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
如何自动检查您的Cisco ASA是否正在运行具有外部监控的最新版本或非易受攻击版本?

使用SNMP,您可以获取ASA的版本号:

$snmpget -v2c -c password 1.2.3.4 iso.3.6.1.2.1.1.1.0
iso.3.6.1.2.1.1.1.0 = STRING: "Cisco Adaptive Security Appliance Version 9.8(2)"

但我找不到任何内容(URL / API / CVE数据库)来与之进行比较,或者测试该版本是否存在已知漏洞.

我能找到的各种Nagios插件(如check_snmp_checklevelnm_check_version)也不这样做.它们只允许在配置文件中验证版本.

these这样的页面有版本信息,但解析当然真的不可靠.

Cisco ASA具有“检查更新”功能,该功能必须具有其检查的某种URL,但我们没有cisco.com帐户.我不知道URL是什么,它可能是https,所以嗅探它并没有帮助.话虽如此,如果人们知道密码保护的更新URL,我很乐意接受它.

编辑:它更复杂,因为this CVE声明对于版本9.8,版本9.8.2.28进行了修补.但是该补丁级别在SNMP中不可见,也不在“关于ASA”的GUI中可见…

解决方法

通过该文档,我可以看到您的问题从哪里开始.

尝试执行此命令show version |包括图像你应该看到如下输出:系统映像文件是“disk0:/asa982-28-smp-k8.bin”

从我在Cisco Interim Release Notes中看到的,这将是检索发布和构建信息的直接方式.

在这种情况下

修订版:版本9.8(2)28 – 04/18/2018
文件:asa982-28-smp-k8.bin

看起来版本信息嵌入在文件名中.

版本X.Y(I)J
文件:asaXYI-J-smp-k8.bin

这当然是一个障碍,但你可以:

>让Nagios SSH进入ASA
> Capture show版本|包括图像
>将文件名解析为版本名称.
>根据某些外部源检查版本.
>将成功或失败归入nagios.

更新根据您的评论

如果你不想为数据列出parse the webpage,你将需要一些重任务.有人必须将供应商补丁,供应商安全建议和CVE联系在一起.这是一个非繁琐的过程.

NessusOpenVAS具有尝试链接这三种类型数据的安全馈送.

这些工具和其他类似工具将扫描您的网络,比较版本和配置与最低版本或配置基线.创建包含建议的报告.然后跟踪您在解决这些最低级别时的进度.

如果你不想做所有这些,你可能最好解析网页并保持在Cisco ASA的CVE之上.

猜你在找的CSS相关文章