Cisco ASA、FTDで正常にスタートアップコンフィグが読み込まれない問題

こんにちは。ネットワークソリューション特集 編集部です。
今回は、Cisco ASA、FTDで正常にスタートアップコンフィグが読み込まれない問題についてご紹介します。

現象

スタートアップコンフィグの読み込みに問題がありオブジェクトグループを利用したACLに影響があります。

• オブジェクトグループが正常に読み込まれないためそのオブジェクトグループがランニングコンフィグにありません
• オブジェクトグループの読み込みに問題がありACLに関連付けられません

Cisco

Cisco Security Advisory: Cisco Adaptive Security Appliance Software and Firep...

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-aclconfig-wVK52f3z

An issue with the boot-time programming of access control lists (ACLs) for Cisco Adaptive Security Appliance (ASA) Software and Firepower Threat Defense (FTD) Software could allow a device to boot without all of its ACLs being correctly installed.This issue is due to a logic error that occurs when ACLs are programmed at boot time. If object groups are not in sequential order in the startup configuration, some access control entries (ACEs) may not be installed. Because ACLs govern network traf...

対象OSバージョン

スタートアップコンフィグのオブジェクトグループが正常に読み込まれない。また、ランニングコンフィグにも存在しない。

• ASA
  9.18.1、9.19.1以上
• FTD
  7.2.0以上

スタートアップコンフィグから順序が正しくないためランニングコンフィグにあるがACLに関連付けられない。

• ASA
  9.18.3.39、9.18.3.46、9.19.1.12
• FTD
  7.2.4

ASA 9.18、FTD 7.2以前に影響はありません。

修正バージョン

ワークアラウンドは無いため修正バージョンにアップデートが必要です。それまではDIFF等でスタートアップコンフィグとランニングコンフィグの差分を確認します。

• ASA
  9.18.3.53
  9.19.1.18
• FTD
  7.2.4.1
  7.2.5
  Cisco_FTD_Hotfix_AW-7.2.4.1-1.sh.REL.tar
  Cisco_FTD_SSP_FP1K_Hotfix_AW-7.2.4.1-1.sh.REL.tar
  Cisco_FTD_SSP_FP2K_Hotfix_AW-7.2.4.1-1.sh.REL.tar
  Cisco_FTD_SSP_FP3K_Ho tfix_AW-7.2.4.1 -1.sh.REL.tar
  Cisco_FTD_SSP_Hotfix_AW-7.2.4.1-1.sh.REL.tar
  7.3.1.1

まとめ

• ASA 9.18、FTD 7.2以上にスタートアップコンフィグのオブジェクトグループ読み込みに不具合がある
• 修正バージョンはリリース済み
• アップデートするまではDIFF等で差分を確認する

今回はCisco ASA、FTDで正常にスタートアップコンフィグが読み込まれない問題についてご紹介しました。

関連記事:

Cisco Firewallの選び方（ASA、FTD） Cisco Umbrellaの強み、弱み（メリット、デメリット） Cisco製品値上げ（2021年10月末より） Cisco WIFI5対応AP（Aironet 18,28,3800シリーズ）の販売終了