ASDM beállítása a Cisco ASA-n a GNS3-ban
a CCNA biztonsági vizsgán tesztelt egyik téma a Cisco ASA adaptive security service manager (ASDM). Ez a cikk végigvezeti “telepítése” a ASDM egy Cisco ASA keresztül GNS3. Ez hasznos lesz azok számára, akik meg akarják ismerkedni az ASDM interfésszel (ahogy a CCP sorozatban tettük).
szükségünk lesz egy TFTP szerverre, az ASDM képfájlra és az ASA-ra, amelyre telepíteni szeretnénk. Laboratóriumi beállításunk csak egy ASA-t és egy gazdagépet (a laptopomat) tartalmaz, amelyek mind a TFTP szerverként, mind a számítógépként működnek, amelyet az ASDM elindításához használunk, ha elkészült. A GNS3 topológia az alábbiakban látható:
figyeld meg, hogy kapcsolót használtam a gazdagép és az ASA összekapcsolására, mert a GNS3 nem támogatja a felhő/gazdagép közvetlen csatlakoztatását az ASA-hoz. A kapcsoló csak egy “Ethernet kapcsoló”, és az összes port ugyanabban a VLAN-ban van (bár ezt megváltoztathatja).
az első dolog, amit meg akarunk tenni, hogy megbizonyosodjunk arról, hogy a gazda és az ASA képes kommunikálni. A 192.168.10.0/24 alhálózatot fogjuk használni.
figyeljük meg, hogy annak ellenére, hogy a GNS3 topológia ASA interfészek azonosítjuk “e” (jelezve Ethernet?), valójában gigabites Ethernet interfészek. A ping azt is feltárja, hogy kommunikálhatok a gazdagépemmel (192.168.10.10).
most, hogy kommunikálunk, a következő dolog, amit meg kell tennünk, az ASDM kép betöltése az ASA-ra. Számos lehetőség van, beleértve a HTTP – t, az FTP-t és a TFTP-t, de az egyszerűsége miatt ragaszkodunk a TFTP-hez. Az egyik legjobb TFTP szerver, amelyet használtam, a 3CDaemon, amely FTP vagy Syslog szerverként is működhet. Itt letöltheti az ingyenes TFTP szervereket, beleértve a 3cdaemont is. A 3cdaemon interfész az alábbiakban látható:
figyelje meg, hogy amikor elindul, a 3CDaemon az összes aktív interfészen figyeli a kéréseket, így nem kell semmi különöset tennie ahhoz, hogy meghallgassa a kéréseket. Az ASDM kép helyét azonban a “TFTP szerver konfigurálása” gombra kattintva kell konfigurálnunk.”
ha elkészült, kattintson az Alkalmaz gombra az elvégzett módosítások mentéséhez. Most átmásoljuk az ASDM képet az ASA-ba a copy tftp: flash: paranccsal.
megjegyzés: a TFTP: disk0 másolása is működni fog.
vegye figyelembe, hogy a másolás parancs kiadása után megadhatom az opciókat, például a TFTP-kiszolgáló IP-címét és a fájlnevet. Megadhattam volna ezeket a lehetőségeket a másolás parancsban, de inkább ezt a módszert részesítem előnyben, mert könnyebb, mint emlékezni a szintaxisra. Ne feledje továbbá, hogy a fájlnév megadásakor meg kell adnia a kiterjesztést is, például “.bin” vagy a TFTP szerver nem fogja megtalálni a kért fájlt. A fájl másolása közben megtekintheti az állapotot a 3cdaemonban, az alábbiak szerint:
amikor ez a folyamat befejeződött, az ASA megírja az ASDM képet, és ott jelenik meg a prompt, ahol abbahagyta.
ezen a ponton, annak ellenére, hogy az ASDM fájlt átmásolták az ASA flash-jére, még mindig meg kell adnunk, hogy ez egy ASDM fájl volt, amelyet lemásoltunk (végül is bármilyen más fájl lehetett). Ezt az asdm image <fájl helye> globális konfigurációs paranccsal végezzük. Ha nem tudja a fájl nevét, csak használja a show flash vagy a show disk0: parancsot a név megszerzéséhez.
ha a parancs sikeres, akkor a verzió megjelenítése paranccsal megtekintheti a telepített ASDM képet. Az asdm kép megjelenítése parancs szintén hasznos.
csakúgy, mint a Telnet vagy az SSH, meg kell adnunk, hogy mely gazdagépek csatlakozhatnak az ASA-hoz az ASDM-en keresztül. Ne feledje, hogy az ASDM webes felületen, azaz HTTPS-en keresztül érhető el, ezért először engedélyeznünk kell a HTTPS szervert.
a fenti képernyőképen látható, hogy engedélyeztem a HTTPS szervert, és konfiguráltam az ASA-t, hogy engedélyezze az 192.168.10.0/24 alhálózatot a belső felületen.
most megnyithatok egy webböngészőt, és navigálhatok a https://<ASA> /IP-címre. A mi esetünkben https://192.168.10.1/ lesz. Valószínűleg tanúsítványhibát fog kapni, mert számítógépe nem ismeri fel az ASA digitális tanúsítványát.
mint látható, az ASDM-et helyi alkalmazásként (a számítógépünkre telepített ASDM launcher) vagy Java Web Start alkalmazásként futtathatjuk. Először próbáljuk meg telepíteni az ASDM indítót, mert a telepítés után már nem kell webböngészővel csatlakoznunk. Meg fogja érteni, hogy miért mondtam “kísérlet”, ahogy olvasod tovább.
amikor rákattintottam az “ASDM Launcher telepítése” gombra, kaptam egy hitelesítési párbeszédpanelt az alábbiak szerint:
az ASA alapértelmezett konfigurációját úgy hagytam, ahogy volt, ami azt jelenti, hogy nem konfiguráltam a felhasználónevet vagy a jelszót. A felhasználónév és Jelszó mezők üresen hagyásával és az OK gombra kattintva a prompt eltűnt, és képes voltam “futtatni” a telepítőfájlt. * shrugs *
amikor a telepítés befejeződött, megnyílik az ASDM indító, és megadhatja az IP-címet, a felhasználónevet és a jelszót.
most jó alkalom lesz a felhasználónév/jelszó konfigurálására az ASA-n. Alapértelmezés szerint az ASA a helyi adatbázisát fogja használni a HTTP-kapcsolatok hitelesítéséhez, ezért ezt nem kell kifejezetten megadnunk.
amikor rákattintok az” OK ” gombra, hibaüzenetet kapok: nem sikerült elindítani az Eszközkezelőt <ASA IP-címről>.
csináltam egy keresést ezt a hibát, és megállapította, hogy köze van az én Java verzió, amely verzió 7, frissítés 51. Van néhány megoldás erre, beleértve a Java verzió (ouch) leminősítését vagy az ASDM futtatását a Java Web Start segítségével a webböngészőn keresztül. Megtekintheti ezt a szálat a hiba kijavításának teljes részleteiről. Ebben a cikkben csak visszatérünk a Java Web starthoz.
ha rákattint erre a linkre, letöltést indít, amely megnyitásakor megjelenik az ASDM indító, hasonlóan a fentiekhez, de az eszköz IP-cím mezője nélkül.
miután megadtuk a helyes felhasználónevet és jelszót, az ASDM launcher megkapja a frissített szoftvert az alábbiak szerint:
miután ez befejeződött, bemutatjuk az ASDM interfészt az ASA számára.
most már lehet játszani körül ASDM! J ne felejtse el menteni a konfigurációt.
Összegzés
ebben a cikkben láthattuk, hogyan lehet engedélyezni az ASDM-et egy GNS3-ban futó ASA-eszközön. Nézzük újra a lépéseket: győződjön meg arról, hogy az ASA hozzáférhet a TFTP szerverhez; adja meg az ASDM képfájl könyvtárat a TFTP szerveren; másolja az ASDM képet a TFTP szerverről az ASA-ra a copy tftp: flash: paranccsal; engedélyezze az ASDM képet az ASA-n; engedélyezze a HTTP szervert; konfigurálja az engedélyezett gazdagépet; konfigurálja a felhasználónevet és a jelszót; nyissa meg a böngészőt az ASA IP-címére a HTTPS használatával.
ez a cikk előkészíti az utat a következő ASDM sorozathoz. Remélem, hasznosnak találta ezt a cikket.
További információ
-
Cisco Security Appliance parancssori konfigurációs útmutató, 7.2 verzió: a rendszer hozzáférésének kezelése: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
nem sikerült elindítani az Eszközkezelőt-ASDM probléma: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue