Configuration de l’ASDM sur le Cisco ASA dans GNS3
L’un des sujets testés à l’examen de sécurité CCNA est le gestionnaire de services de sécurité adaptatifs (ASDM) du Cisco ASA. Cet article vous guidera à travers « l’installation » de l’ASDM sur un ASA Cisco via GNS3. Cela sera utile à ceux qui souhaitent se familiariser avec l’interface ASDM (comme nous l’avons fait dans la série CCP).
Nous aurons besoin d’un serveur TFTP, du fichier image ASDM et de l’ASA sur lequel nous voulons l’installer. Notre configuration de laboratoire contiendra un seul ASA et un hôte (mon ordinateur portable), qui agira à la fois comme serveur TFTP et comme ordinateur que nous utiliserons pour lancer l’ASDM une fois terminé. La topologie GNS3 est illustrée ci-dessous:
Notez que j’ai utilisé un commutateur pour connecter l’hôte et l’ASA car GNS3 ne prend pas en charge la connexion d’un cloud / hôte directement à un ASA. Le commutateur est juste un « commutateur Ethernet » et tous les ports sont dans le même VLAN (bien que vous puissiez changer cela).
La première chose que nous voulons faire est de nous assurer que l’hôte et l’ASA peuvent communiquer. Nous utiliserons le sous-réseau 192.168.10.0/24.
Notez que, même si dans la topologie GNS3, les interfaces ASA sont identifiées par « e » (signifiant Ethernet?), ce sont en fait des interfaces Gigabit Ethernet. Le ping révèle également que je peux communiquer avec mon PC hôte (192.168.10.10).
Maintenant que nous avons la communication, la prochaine chose que nous devons faire est de charger l’image ASDM vers l’ASA. Il existe plusieurs options, y compris HTTP, FTP et TFTP, mais nous nous en tiendrons au TFTP en raison de sa simplicité. L’un des meilleurs serveurs TFTP que j’ai utilisés est 3CDaemon et il peut également agir comme un serveur FTP ou Syslog. Vous pouvez télécharger des serveurs TFTP gratuits, y compris 3CDaemon ici. L’interface 3CDaemon est illustrée ci-dessous:
Notez que, lorsqu’il démarre, 3CDaemon écoute les requêtes sur toutes vos interfaces actives, vous n’avez donc rien de spécial à faire pour qu’il écoute les requêtes. Cependant, nous devons configurer l’emplacement de notre image ASDM en cliquant sur « Configurer le serveur TFTP. »
Une fois que vous avez terminé, vous pouvez cliquer sur le bouton Appliquer pour enregistrer les modifications que vous avez apportées. Nous allons maintenant copier l’image ASDM vers l’ASA en utilisant la commande copy tftp: flash:.
Remarque: copier tftp: disk0: fonctionnera également.
Notez qu’après avoir émis la commande copy, je peux ensuite spécifier les options, telles que l’adresse IP du serveur TFTP et le nom du fichier. J’aurais pu spécifier toutes ces options dans la commande copy, mais je préfère cette méthode car c’est plus facile que de devoir se souvenir de la syntaxe. Gardez également à l’esprit que, lorsque vous spécifiez le nom du fichier, vous devez également spécifier l’extension, par exemple, « .bin » ou le serveur TFTP ne pourra pas localiser le fichier que vous demandez. Pendant la copie du fichier, vous pouvez afficher l’état dans 3CDaemon, comme indiqué ci-dessous:
Lorsque ce processus est terminé, l’ASA écrira l’image ASDM et vous sera présenté avec l’invite là où vous vous êtes arrêté.
À ce stade, même si le fichier ASDM a été copié sur le flash de l’ASA, nous devons toujours spécifier qu’il s’agissait d’un fichier ASDM que nous avons copié (après tout, cela aurait pu être n’importe quel autre fichier). Nous faisons cela en utilisant la commande de configuration globale asdm image < file location >. Si vous ne connaissez pas le nom du fichier, utilisez simplement la commande show flash ou show disk0: pour obtenir le nom.
Si la commande réussit, vous pouvez utiliser la commande show version pour voir l’image ASDM installée. La commande show asdm image est également utile.
Tout comme Telnet ou SSH, nous devons spécifier quels hôtes peuvent se connecter à l’ASA via l’ASDM. N’oubliez pas que l’ASDM est accessible via une interface Web, c’est-à-dire HTTPS, nous devons donc d’abord activer le serveur HTTPS.
De la capture d’écran ci-dessus, vous pouvez voir que j’ai activé le serveur HTTPS et configuré l’ASA pour autoriser le sous-réseau 192.168.10.0/24 sur l’interface interne.
Je peux maintenant ouvrir un navigateur Web et accéder à https://<ASA adresse IP >/. Dans notre cas, ce sera https://192.168.10.1/. Vous obtiendrez probablement une erreur de certificat parce que votre ordinateur ne reconnaît pas le certificat numérique de l’ASA.
Comme vous pouvez le voir, nous pouvons soit exécuter ASDM en tant qu’application locale (lanceur ASDM installé sur notre ordinateur), soit en tant qu’application Java Web Start. Essayons d’abord d’installer le lanceur ASDM car, une fois installé, nous n’aurons plus besoin de nous connecter à l’aide d’un navigateur Web. Vous comprendrez pourquoi j’ai dit « tentative » pendant que vous lisez la suite.
Lorsque j’ai cliqué sur le bouton « Installer le lanceur ASDM », j’ai obtenu une boîte de dialogue d’authentification comme indiqué ci-dessous:
J’ai laissé la configuration par défaut de mon ASA telle qu’elle était, ce qui signifie que je n’ai pas configuré de nom d’utilisateur ou de mot de passe. En laissant les champs nom d’utilisateur et mot de passe vides et en cliquant sur le bouton OK, l’invite a disparu et j’ai pu « Exécuter » le fichier d’installation. * hausse les épaules *
Lorsque l’installation est terminée, le lanceur ASDM s’ouvre et vous pouvez spécifier les paramètres d’adresse IP, de nom d’utilisateur et de mot de passe.
Maintenant sera un bon moment pour configurer le nom d’utilisateur/mot de passe sur l’ASA. Par défaut, l’ASA utilisera sa base de données locale pour authentifier des connexions HTTP, nous n’avons donc pas besoin de le spécifier explicitement.
Lorsque je clique sur le bouton « OK », j’obtiens une erreur: Impossible de lancer le gestionnaire de périphériques à partir de < adresse IP ASA >.
J’ai fait une recherche sur cette erreur et j’ai constaté que cela avait à voir avec ma version Java, qui est la version 7, mise à jour 51. Il existe quelques solutions de contournement pour cela, y compris la rétrogradation de votre version Java (aïe) ou l’exécution de l’ASDM via le démarrage Web Java via le navigateur Web. Vous pouvez consulter ce fil pour obtenir tous les détails sur la correction de cette erreur. Dans cet article, nous reviendrons simplement sur le démarrage Web Java.
Cliquer sur ce lien déclenchera un téléchargement qui, une fois ouvert, fera apparaître le lanceur ASDM similaire à celui que nous avons vu ci-dessus mais sans le champ d’adresse IP de l’appareil.
Après avoir spécifié le nom d’utilisateur et le mot de passe corrects, le lanceur ASDM obtiendra le logiciel mis à jour comme indiqué ci-dessous:
Une fois cela terminé, on nous présente l’interface ASDM pour cette ASA.
Maintenant, vous pouvez jouer avec ASDM! J N’oubliez pas de sauvegarder votre configuration.
Résumé
Dans cet article, nous avons vu comment activer l’ASDM sur un périphérique ASA s’exécutant dans GNS3. Récapitulons à nouveau les étapes : Assurez-vous que l’ASA peut accéder au serveur TFTP ; spécifiez le répertoire de fichier d’image ASDM sur le serveur TFTP ; copiez l’image ASDM du serveur TFTP vers l’ASA en utilisant la commande copy tftp: flash: ; activez l’image ASDM sur l’ASA ; activez le serveur HTTP ; configurez les hôtes autorisés ; configurez le nom d’utilisateur et le mot de passe ; ouvrez le navigateur à l’adresse IP de l’ASA en utilisant HTTPS.
Cet article prépare la voie à la série ASDM qui suivra. J’espère que vous avez trouvé cet article utile.
Lectures complémentaires
-
Guide de configuration de ligne de commande de Cisco Security Appliance, Version 7.2 : Gestion de l’accès au système: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
Impossible de lancer le gestionnaire de périphériques – Problème ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue