Einrichten von ASDM auf der Cisco ASA in GNS3
Eines der Themen, die in der CCNA-Sicherheitsprüfung getestet werden, ist der Adaptive Security Service Manager (ASDM) der Cisco ASA. Dieser Artikel führt Sie durch die „Installation“ des ASDM auf einer Cisco ASA über GNS3. Dies ist hilfreich für diejenigen, die sich mit der ASDM-Schnittstelle vertraut machen möchten (wie wir es in der CCP-Serie getan haben).
Wir benötigen einen TFTP-Server, die ASDM-Image-Datei und die ASA, auf der wir sie installieren möchten. Unser Labor-Setup enthält nur eine ASA und einen Host (meinen Laptop), der sowohl als TFTP-Server als auch als Computer dient, mit dem wir das ASDM starten, wenn es fertig ist. Die GNS3-Topologie ist unten dargestellt:
Beachten Sie, dass ich einen Switch verwendet habe, um den Host und die ASA zu verbinden, da GNS3 die direkte Verbindung einer Cloud / eines Hosts mit einer ASA nicht unterstützt. Der Switch ist nur ein „Ethernet-Switch“ und alle Ports befinden sich im selben VLAN (obwohl Sie dies ändern können).
Als erstes möchten wir sicherstellen, dass der Host und die ASA kommunizieren können. Wir werden das Subnetz 192.168.10.0 / 24 verwenden.
Beachten Sie, dass die ASA-Schnittstellen in der GNS3-Topologie mit „e“ gekennzeichnet sind (was Ethernet bedeutet?), sind sie eigentlich Gigabit-Ethernet-Schnittstellen. Der Ping zeigt auch, dass ich mit meinem Host-PC (192.168.10.10) kommunizieren kann.
Nun, da wir die Kommunikation haben, müssen wir als nächstes das ASDM-Image auf die ASA laden. Es gibt mehrere Optionen, einschließlich HTTP, FTP und TFTP, aber wir werden wegen seiner Einfachheit bei TFTP bleiben. Einer der besten TFTP-Server, die ich verwendet habe, ist 3CDaemon und kann auch als FTP- oder Syslog-Server fungieren. Sie können kostenlose TFTP-Server einschließlich 3CDaemon hier herunterladen. Die 3CDaemon-Schnittstelle ist unten dargestellt:
Beachten Sie, dass 3CDaemon beim Start auf allen Ihren aktiven Schnittstellen auf Anforderungen wartet, sodass Sie nichts Besonderes tun müssen, damit es auf Anforderungen wartet. Wir müssen jedoch den Speicherort unseres ASDM-Images konfigurieren, indem wir auf „TFTP-Server konfigurieren“ klicken.“
Sobald Sie fertig sind, können Sie auf die Schaltfläche Übernehmen klicken, um die vorgenommenen Änderungen zu speichern. Wir werden nun das ASDM-Image mit dem Befehl copy tftp: flash: auf die ASA kopieren.
Hinweis: copy tftp: disk0: funktioniert auch.
Beachten Sie, dass ich nach dem Ausgeben des Kopierbefehls die Optionen angeben kann, z. B. die IP-Adresse des TFTP-Servers und den Dateinamen. Ich hätte alle diese Optionen im Kopierbefehl angeben können, aber ich bevorzuge diese Methode, weil sie einfacher ist, als sich an die Syntax erinnern zu müssen. Beachten Sie auch, dass Sie bei der Angabe des Dateinamens auch die Erweiterung angeben müssen, z. B. „.bin“ oder der TFTP-Server kann die angeforderte Datei nicht finden. Während die Datei kopiert wird, können Sie den Status in 3CDaemon anzeigen, wie unten gezeigt:
Wenn dieser Vorgang abgeschlossen ist, schreibt die ASA das ASDM-Image und Sie erhalten die Eingabeaufforderung an der Stelle, an der Sie aufgehört haben.
Obwohl die ASDM-Datei in den Flash der ASA kopiert wurde, müssen wir zu diesem Zeitpunkt noch angeben, dass es sich um eine ASDM-Datei handelt, die wir kopiert haben (schließlich hätte es sich um jede andere Datei handeln können). Wir tun dies mit dem globalen Konfigurationsbefehl asdm image <file location>. Wenn Sie den Namen der Datei nicht kennen, verwenden Sie einfach den Befehl show flash oder show disk0:, um den Namen abzurufen.
Wenn der Befehl erfolgreich ist, können Sie den Befehl show version verwenden, um das installierte ASDM-Image anzuzeigen. Der Befehl show asdm image ist ebenfalls hilfreich.
Genau wie Telnet oder SSH müssen wir angeben, welche Hosts über das ASDM eine Verbindung zur ASA herstellen können. Denken Sie daran, dass auf das ASDM über eine Weboberfläche zugegriffen wird, d. H. HTTPS, daher müssen wir zuerst den HTTPS-Server aktivieren.
Aus dem obigen Screenshot können Sie sehen, dass ich den HTTPS-Server aktiviert und die ASA so konfiguriert habe, dass das 192.168.10.0 / 24-Subnetz auf der internen Schnittstelle zugelassen wird.
Ich kann jetzt einen Webbrowser öffnen und zu https://<ASA IP-Adresse>/ navigieren. In unserem Fall wird es https://192.168.10.1/ sein. Sie erhalten wahrscheinlich einen Zertifikatfehler, weil Ihr Computer das digitale Zertifikat der ASA nicht erkennt.
Wie Sie sehen, können wir ASDM entweder als lokale Anwendung (auf unserem Computer installierter ASDM Launcher) oder als Java Web Start-Anwendung ausführen. Versuchen wir zunächst, den ASDM Launcher zu installieren, da wir nach der Installation keine Verbindung mehr über einen Webbrowser herstellen müssen. Sie werden verstehen, warum ich „Versuch“ gesagt habe, wenn Sie weiterlesen.
Als ich auf die Schaltfläche „ASDM Launcher installieren“ klickte, wurde ein Authentifizierungsdialogfeld wie unten gezeigt angezeigt:
Ich habe die Standardkonfiguration meiner ASA unverändert gelassen, was bedeutet, dass ich keinen Benutzernamen oder kein Kennwort konfiguriert habe. Indem Sie die Felder Benutzername und Passwort leer ließen und auf die Schaltfläche OK klickten, verschwand die Eingabeaufforderung und ich konnte die Installationsdatei „ausführen“. *achselzucken *
Wenn die Installation abgeschlossen ist, wird der ASDM Launcher geöffnet und Sie können die Einstellungen für IP-Adresse, Benutzername und Kennwort angeben.
Jetzt ist es an der Zeit, den Benutzernamen / das Passwort auf der ASA zu konfigurieren. Standardmäßig verwendet die ASA ihre lokale Datenbank zur Authentifizierung von HTTP-Verbindungen, sodass wir dies nicht explizit angeben müssen.
Wenn ich auf die Schaltfläche „OK“ klicke, wird eine Fehlermeldung angezeigt: Der Geräte-Manager kann nicht von < mit der IP-Adresse > gestartet werden.
Ich habe nach diesem Fehler gesucht und festgestellt, dass er mit meiner Java-Version, Version 7, Update 51, zu tun hat. Dafür gibt es einige Problemumgehungen, darunter das Downgrade Ihrer Java-Version (Autsch) oder das Ausführen von ASDM über den Java Web Start über den Webbrowser. Sie können diesen Thread für die vollständigen Details zur Behebung dieses Fehlers anzeigen. In diesem Artikel werden wir nur auf den Java Web Start zurückgreifen.
Wenn Sie auf diesen Link klicken, wird ein Download ausgelöst, der beim Öffnen den ASDM-Launcher ähnlich dem oben gezeigten aufruft, jedoch ohne das Feld Geräte-IP-Adresse.
Nachdem wir den richtigen Benutzernamen und das richtige Passwort angegeben haben, erhält der ASDM Launcher die aktualisierte Software wie unten gezeigt:
Sobald dies abgeschlossen ist, wird uns die ASDM-Schnittstelle für diese ASA angezeigt.
Jetzt können Sie mit ASDM herumspielen! J Denken Sie daran, Ihre Konfiguration zu speichern.
Zusammenfassung
In diesem Artikel haben wir gesehen, wie Sie ASDM auf einem ASA-Gerät aktivieren, das in GNS3 ausgeführt wird. Lassen Sie uns die Schritte noch einmal zusammenfassen: Stellen Sie sicher, dass die ASA auf den TFTP-Server zugreifen kann; Geben Sie das ASDM-Image-Dateiverzeichnis auf dem TFTP-Server an; Kopieren Sie das ASDM-Image mit dem Befehl copy tftp: flash: vom TFTP-Server auf die ASA; Aktivieren Sie das ASDM-Image auf der ASA; Aktivieren Sie den HTTP-Server; Konfigurieren Sie zulässige Hosts; Konfigurieren Sie Benutzername und Kennwort; Öffnen Sie den Browser mit HTTPS für die IP-Adresse der ASA.
Dieser Artikel bereitet den Weg für die ASDM-Serie, die folgen wird. Ich hoffe, Sie fanden diesen Artikel hilfreich.
Weiterführende Literatur
-
Cisco Security Appliance-Befehlszeilenkonfigurationshandbuch, Version 7.2: Verwalten des Systemzugriffs: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
Geräte-Manager kann nicht gestartet werden – ASDM-Problem: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue