ASDM: n asettaminen Cisco ASA: lle GNS3: ssa
yksi CCNA: n tietoturvakokeessa testatuista aiheista on Cisco ASA: n adaptive security service manager (ASDM). Tämä artikkeli opastaa ”asentamalla” ASDM Cisco ASA kautta GNS3. Tästä on apua niille, jotka haluavat tutustua ASDM-käyttöliittymään (kuten olemme tehneet CCP-sarjassa).
tarvitsemme TFTP-palvelimen, ASDM-kuvatiedoston ja ASA: n, johon haluamme sen asentaa. Meidän lab setup sisältää vain yksi ASA ja yksi isäntä (oma kannettava tietokone), joka toimii sekä TFTP-palvelin ja tietokone käytämme käynnistää ASDM kun valmis. GNS3-topologia on esitetty alla:
huomaa, että olen käyttänyt valitsinta palvelimen ja ASA: n yhdistämiseen, koska GNS3 ei tue pilvipalvelimen/isännän liittämistä suoraan ASA: han. Kytkin on vain ”Ethernet-kytkin” ja kaikki portit ovat samassa VLAN (vaikka voit muuttaa sitä).
ensin halutaan varmistaa, että juontaja ja ASA pystyvät kommunikoimaan. Käytämme 192.168.10.0 / 24-aliverkkoa.
huomaa, että vaikka GNS3-topologiassa ASA-liitännät tunnistetaan ”e”: llä (merkitään Ethernet?), ne ovat itse asiassa gigabitin Ethernet-liitäntöjä. Ping paljastaa myös, että voin kommunikoida minun isäntä PC (192.168.10.10).
nyt kun meillä on kommunikaatio, seuraavaksi meidän täytyy ladata ASDM-kuva Asalle. On olemassa useita vaihtoehtoja, kuten HTTP, FTP, ja TFTP, mutta me pysymme TFTP koska sen yksinkertaisuus. Yksi parhaista käyttämistäni TFTP-palvelimista on 3CDaemon ja se voi toimia myös FTP-tai Syslog-palvelimena. Voit ladata ilmaisia TFTP-palvelimia, mukaan lukien 3CDaemon täältä. 3cdaemon-rajapinta näkyy alla:
huomaa, että kun se käynnistyy, 3CDaemon kuuntelee pyyntöjä kaikilla aktiivisilla käyttöliittymilläsi, joten sinun ei tarvitse tehdä mitään erityistä saadaksesi sen kuuntelemaan pyyntöjä. Meidän on kuitenkin määritettävä ASDM-kuvan sijainti klikkaamalla ” Määritä TFTP-palvelin.”
kun olet valmis, voit klikata Käytä-painiketta tallentaa tekemäsi muutokset. Kopioimme nyt ASDM-kuvan ASA: lle copy tftp: flash: – komennolla.
Huom: kopioi tftp: disk0: toimii myös.
huomaa, että kopiointikomennon antamisen jälkeen voin määrittää asetukset, kuten TFTP-palvelimen IP-osoitteen ja tiedostonimen. Olisin voinut määrittää kaikki nämä vaihtoehdot kopiointikomennossa, mutta pidän tätä menetelmää parempana, koska se on helpompaa kuin ottaa muistaa syntaksi. Myös, pitää mielessä, että, määritettäessä tiedostonimi, sinun täytyy myös määrittää laajennus, esim.,”.bin ” tai TFTP-palvelin ei pysty paikantamaan pyytämääsi tiedostoa. Kun tiedostoa kopioidaan, voit tarkastella tilaa 3cdaemon-tiedostossa, kuten alla on esitetty.:
kun tämä prosessi on valmis, ASA kirjoittaa ASDM-kuvan ja sinulle esitetään kehote, johon jäit.
tässä vaiheessa, vaikka ASDM-tiedosto on kopioitu ASA: n salamaan, on vielä tarkennettava, että kyseessä oli kopioimamme ASDM-tiedosto (olisihan se voinut olla mikä tahansa muu tiedosto). Teemme tämän käyttämällä asdm-levykuvaa <tiedoston sijainti> global configuration-komentoa. Jos et tiedä tiedoston nimeä, käytä vain näytä salama-tai näytä disk0: – komentoa saadaksesi nimen.
jos komento onnistuu, voit käyttää Näytä versio-komentoa nähdäksesi ASDM-kuvan asennettuna. Näytä asdm-kuvakomento on myös hyödyllinen.
aivan kuten Telnet tai SSH, meidän täytyy määrittää, mitä isännät voivat muodostaa yhteyden ASA kautta ASDM. Muista, että ASDM: ää käytetään web-käyttöliittymän eli HTTPS: n kautta, joten meidän on ensin otettava HTTPS-palvelin käyttöön.
yllä olevasta kuvakaappauksesta näet, että olen ottanut HTTPS-palvelimen käyttöön ja määrittänyt ASA: n sallimaan 192.168.10.0/24-aliverkon sisäpiiriliittymässä.
pystyn nyt avaamaan verkkoselaimen ja navigoimaan https://<ASA IP-osoitteeseen>/. Meidän tapauksessamme se on https://192.168.10.1/. Saat varmennevirheen todennäköisesti siksi, että tietokoneesi ei tunnista ASA: n digitaalista varmennetta.
kuten näet, voimme joko ajaa ASDM paikallisena sovelluksena (ASDM launcher asennettu tietokoneeseen) tai Java Web Start sovellus. Yritetään ensin asentaa ASDM-kantoraketti, koska kun se on asennettu, meidän ei tarvitse enää muodostaa yhteyttä verkkoselaimella. Ymmärrät, miksi sanoin ”yrittää”, kun luet.
kun klikkasin ”Install ASDM Launcher” – painiketta, sain todennus-valintaikkunan kuten alla näkyy:
jätin ASA: n oletusasetukset ennalleen, eli en määrittänyt käyttäjätunnusta tai salasanaa. Jättämällä käyttäjätunnus ja Salasana kentät tyhjiksi ja klikkaamalla OK-painiketta, kehote katosi ja pystyin ”ajaa” asennustiedosto. * kohauttaa *
kun asennus on tehty, ASDM-kantoraketti avautuu ja voit määrittää IP-osoitteen, käyttäjätunnuksen ja salasanan asetukset.
nyt on hyvä aika määrittää käyttäjätunnus / salasana ASA. Oletuksena ASA käyttää paikallista tietokantaansa HTTP-yhteyksien todentamiseen, joten sitä ei tarvitse erikseen määritellä.
kun napsautan ”OK” – painiketta, saan virheen: laitehallinnan käynnistäminen ei onnistu <ASA-IP-osoitteesta>.
tein haun tästä virheestä ja totesi, että se on tekemistä minun Java-versio, joka on versio 7, päivitys 51. Tähän on olemassa pari kiertoteitä, mukaan lukien Java-version (ouch) alentaminen tai ASDM: n suorittaminen Java Web Start-sovelluksen kautta verkkoselaimen kautta. Voit tarkastella tätä säiettä täydelliset tiedot vahvistamisesta tämän virheen. Tässä artikkelissa, me vain pudota takaisin Java Web Start.
napsauttamalla tätä linkkiä käynnistyy lataus, joka avattaessa tuo esiin ASDM-kantoraketin, joka on samanlainen kuin yllä nähty, mutta ilman laitteen IP-osoitekenttää.
kun olemme määrittäneet oikean käyttäjätunnuksen ja salasanan, ASDM-kantoraketti saa päivitetyn ohjelmiston alla esitetyllä tavalla:
kun tämä on valmis, meille esitellään ASDM käyttöliittymä, että ASA.
nyt voit leikkiä ASDM: llä! J muista tallentaa asetukset.
Yhteenveto
tässä artikkelissa olemme nähneet, miten ASDM voidaan ottaa käyttöön ASA-laitteessa, joka toimii GNS3: ssa. Kerrataan vaiheet uudelleen: varmista, että ASA voi käyttää TFTP-palvelinta; määritä ASDM-kuvatiedostohakemisto TFTP-palvelimella; kopioi ASDM-kuva TFTP-palvelimelta ASA: lle kopioimalla TFTP: flash: – komento; ota ASDM-kuva ASA: ssa; ota HTTP-palvelin käyttöön; määritä sallitut isännät; määritä käyttäjätunnus ja salasana; avaa selain ASA: n IP-osoitteeseen HTTPS: llä.
tässä artikkelissa pohjustetaan tulevaa ASDM-sarjaa. Toivottavasti olet löytänyt tämän artikkelin hyödyllistä.
lisätietoja
-
Cisco Security Appliance Command Line Configuration Guide, versio 7.2: järjestelmän käytön hallinta: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
laitehallintaa ei voitu käynnistää-ASDM-ongelma: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue