Configuración de ASDM en Cisco ASA en GNS3
Uno de los temas que se prueban en el examen de seguridad CCNA es el administrador de servicios de seguridad adaptativo (ASDM) de Cisco ASA. Este artículo lo guiará a través de la «instalación» del ASDM en un Cisco ASA a través de GNS3. Esto será útil para aquellos que quieran familiarizarse con la interfaz ASDM (como lo hemos estado haciendo en la serie CCP).
Necesitaremos un servidor TFTP, el archivo de imagen ASDM y el ASA en el que queremos instalarlo. Nuestra configuración de laboratorio contendrá solo un ASA y un host (mi computadora portátil), que actuarán como el servidor TFTP y la computadora que usaremos para iniciar el ASDM cuando termine. La topología GNS3 se muestra a continuación:
Observe que he utilizado un conmutador para conectar el host y el ASA porque GNS3 no admite la conexión de una nube/host directamente a un ASA. El conmutador es solo un «conmutador Ethernet» y todos los puertos están en la misma VLAN (aunque puede cambiarlo).
Lo primero que queremos hacer es asegurarnos de que el host y el ASA puedan comunicarse. Usaremos la subred 192.168.10.0 / 24.
Observe que, a pesar de que en la topología GNS3 las interfaces ASA se identifican con» e » (¿que significa Ethernet?), en realidad son interfaces Gigabit Ethernet. El ping también revela que puedo comunicarme con mi PC host (192.168.10.10).
Ahora que tenemos comunicación, lo siguiente que tenemos que hacer es cargar la imagen ASDM en el ASA. Hay varias opciones, incluyendo HTTP, FTP y TFTP, pero nos quedaremos con TFTP debido a su simplicidad. Uno de los mejores servidores TFTP que he usado es 3CDaemon y también puede actuar como un servidor FTP o Syslog. Puede descargar servidores TFTP gratuitos incluyendo 3CDaemon aquí. La interfaz de 3CDaemon se muestra a continuación:
Tenga en cuenta que, cuando se inicia, 3CDaemon escucha solicitudes en todas sus interfaces activas, por lo que no tiene que hacer nada especial para que escuche solicitudes. Sin embargo, tenemos que configurar la ubicación de nuestra imagen ASDM haciendo clic en «Configurar servidor TFTP».»
una Vez que haya terminado, usted puede hacer clic en el botón Aplicar para guardar los cambios realizados. Ahora copiaremos la imagen ASDM al ASA usando el comando copiar tftp: flash:.
Nota: copiar tftp: disk0: también funcionará.
Observe que, después de emitir el comando copiar, puedo especificar las opciones, como la dirección IP del servidor TFTP y el nombre de archivo. Podría haber especificado todas esas opciones en el comando copiar, pero prefiero este método porque es más fácil que tener que recordar la sintaxis. Además, tenga en cuenta que, al especificar el nombre del archivo, también debe especificar la extensión, por ejemplo, «.bin » o el servidor TFTP no podrá localizar el archivo que está solicitando. Mientras se copia el archivo, puede ver el estado en 3CDaemon, como se muestra a continuación:
Cuando finalice este proceso, el ASA escribirá la imagen ASDM y se le presentará el mensaje donde lo dejó.
En este punto, a pesar de que el archivo ASDM se ha copiado en el flash de ASA, todavía tenemos que especificar que fue un archivo ASDM que copiamos (después de todo, podría haber sido cualquier otro archivo). Hacemos esto usando el comando de configuración global de imagen asdm <ubicación del archivo>. Si no conoce el nombre del archivo, simplemente use el comando show flash o show disk0: para obtener el nombre.
Si el comando tiene éxito, puede usar el comando show version para ver la imagen ASDM instalada. El comando show asdm image también es útil.
Al igual que Telnet o SSH, necesitamos especificar qué hosts se pueden conectar al ASA a través del ASDM. Recuerde que el ASDM se accede a través de una interfaz web, es decir, HTTPS, por lo que primero debemos habilitar el servidor HTTPS.
En la captura de pantalla anterior, puede ver que he habilitado el servidor HTTPS y configurado el ASA para permitir la subred 192.168.10.0/24 en la interfaz interna.
Ahora puedo abrir un navegador web y navegar a https://<ASA Dirección IP>/. En nuestro caso, será https://192.168.10.1/. Probablemente obtendrá un error de certificado porque su computadora no reconoce el certificado digital de ASA.
Como puede ver, podemos ejecutar ASDM como una aplicación local (lanzador ASDM instalado en nuestro equipo) o como una aplicación Java Web Start. Intentemos primero instalar el lanzador ASDM porque, una vez instalado, ya no necesitaremos conectarnos usando un navegador web. Entenderás por qué dije «intentar» mientras sigues leyendo.
Cuando hice clic en el botón» Instalar lanzador de ASDM», obtuve un cuadro de diálogo de autenticación como se muestra a continuación:
Dejé la configuración predeterminada de mi ASA como estaba, lo que significa que no configuré el nombre de usuario ni la contraseña. Al dejar los campos de nombre de usuario y contraseña vacíos y hacer clic en el botón ACEPTAR, el mensaje desapareció y pude «Ejecutar» el archivo de instalación. * shrugs *
Cuando se realiza la instalación, se abre el lanzador ASDM y puede especificar la configuración de la dirección IP, el nombre de usuario y la contraseña.
Ahora será un buen momento para configurar el nombre de usuario/contraseña en el ASA. De forma predeterminada, el ASA utilizará su base de datos local para autenticar conexiones HTTP, por lo que no es necesario que lo especifiquemos explícitamente.
Cuando hago clic en el botón» ACEPTAR», obtengo un error: No se puede iniciar el administrador de dispositivos desde <Dirección IP ASA>.
Hice una búsqueda en este error y encontré que tiene que ver con mi versión de Java, que es la versión 7, actualización 51. Hay un par de soluciones para esto, incluida la degradación de su versión de Java (ouch) o la ejecución de ASDM a través de Java Web Start a través del navegador web. Puede ver este hilo para obtener los detalles completos sobre cómo corregir este error. En este artículo, solo volveremos a Java Web Start.
Al hacer clic en ese enlace, se activará una descarga que, cuando se abra, mostrará el Lanzador ASDM similar al que vimos anteriormente, pero sin el campo de dirección IP del dispositivo.
Después de especificar el nombre de usuario y la contraseña correctos, el lanzador ASDM obtendrá el software actualizado como se muestra a continuación:
Una vez que se complete, se nos presenta la interfaz ASDM para ese ASA.
Ahora usted puede jugar con ASDM! J Recuerde guardar su configuración.
Resumen
En este artículo, hemos visto cómo habilitar el ASDM en un dispositivo ASA que se ejecuta en GNS3. Recapitulemos los pasos de nuevo: Asegúrese de que ASA pueda acceder al servidor TFTP; especifique el directorio de archivos de imagen ASDM en el servidor TFTP; copie la imagen ASDM del servidor TFTP al ASA utilizando el comando copiar tftp: flash:; habilite la imagen ASDM en el ASA; habilite el servidor HTTP; configure los host(s) permitidos; configure el nombre de usuario y la contraseña; abra el navegador a la dirección IP de ASA utilizando HTTPS.
Este artículo prepara el camino para la serie ASDM que seguirá. Espero que haya encontrado útil este artículo.
Más información
-
Guía de Configuración de Línea de Comandos del Dispositivo de Seguridad de Cisco, Versión 7.2: Administración del Acceso al Sistema: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
No se puede iniciar el Administrador de dispositivos: problema con ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue