Impostazione di ASDM su Cisco ASA in GNS3
Uno degli argomenti testati nell’esame di sicurezza CCNA è l’adaptive Security Service manager (ASDM) di Cisco ASA. Questo articolo vi guiderà attraverso “installazione” del ASDM su un Cisco ASA attraverso GNS3. Questo sarà utile a coloro che vogliono familiarizzare con l’interfaccia ASDM (come abbiamo fatto nella serie CCP).
Avremo bisogno di un server TFTP, il file immagine ASDM e l’ASA su cui vogliamo installarlo. La nostra configurazione di laboratorio conterrà solo un ASA e un host (il mio laptop), che fungerà sia da server TFTP che da computer che useremo per avviare l’ASDM al termine. La topologia GNS3 è mostrata di seguito:
Si noti che ho usato uno switch per collegare l’host e l’ASA perché GNS3 non supporta la connessione di un cloud/host direttamente a un ASA. Lo switch è solo uno “switch Ethernet” e tutte le porte si trovano nella stessa VLAN (anche se è possibile cambiarlo).
La prima cosa che vogliamo fare è assicurarci che l’host e l’ASA possano comunicare. Useremo la sottorete 192.168.10.0 / 24.
Si noti che, anche se nella topologia GNS3 le interfacce ASA sono identificate con ” e ” (che significa Ethernet?), sono in realtà interfacce Gigabit Ethernet. Il ping rivela anche che posso comunicare con il mio PC host (192.168.10.10).
Ora che abbiamo la comunicazione, la prossima cosa che dobbiamo fare è caricare l’immagine ASDM all’ASA. Ci sono diverse opzioni tra cui HTTP, FTP e TFTP, ma ci atterremo con TFTP a causa della sua semplicità. Uno dei migliori server TFTP che ho usato è 3CDaemon e può anche fungere da server FTP o Syslog. È possibile scaricare i server TFTP gratuiti tra cui 3CDaemon qui. L’interfaccia 3CDaemon è mostrata di seguito:
Si noti che, all’avvio, 3CDaemon ascolta le richieste su tutte le interfacce attive in modo da non dover fare nulla di speciale per farlo ascoltare per le richieste. Tuttavia, dobbiamo configurare la posizione della nostra immagine ASDM facendo clic su ” Configura server TFTP.”
Una volta che hai finito, è possibile fare clic sul pulsante Applica per salvare le modifiche apportate. Ora copieremo l’immagine ASDM nell’ASA usando il comando copy tftp: flash:.
Nota: copy tftp: disk0: funzionerà anche.
Si noti che, dopo aver emesso il comando copia, posso quindi specificare le opzioni, come l’indirizzo IP del server TFTP e il nome del file. Avrei potuto specificare tutte quelle opzioni nel comando copy, ma preferisco questo metodo perché è più facile che dover ricordare la sintassi. Inoltre, tieni presente che, quando specifichi il nome del file, devi anche specificare l’estensione, ad esempio “.bin ” o il server TFTP non sarà in grado di individuare il file richiesto. Durante la copia del file, è possibile visualizzare lo stato in 3CDaemon, come illustrato di seguito:
Quando questo processo è terminato, l’ASA scriverà l’immagine ASDM e ti verrà presentato il prompt da dove hai interrotto.
A questo punto, anche se il file ASDM è stato copiato sul flash dell’ASA, dobbiamo ancora specificare che si trattava di un file ASDM che abbiamo copiato (dopotutto, avrebbe potuto essere qualsiasi altro file). Lo facciamo usando il comando di configurazione globale asdm image <file location>. Se non si conosce il nome del file, basta usare il comando show flash o show disk0: per ottenere il nome.
Se il comando ha esito positivo, è possibile utilizzare il comando Mostra versione per vedere l’immagine ASDM installata. Anche il comando Mostra immagine asdm è utile.
Proprio come Telnet o SSH, dobbiamo specificare quali host possono connettersi all’ASA tramite l’ASDM. Ricorda che l’ASDM è accessibile tramite un’interfaccia web, cioè HTTPS, quindi dobbiamo prima abilitare il server HTTPS.
Dallo screenshot sopra, puoi vedere che ho abilitato il server HTTPS e configurato l’ASA per consentire la sottorete 192.168.10.0/24 sull’interfaccia interna.
Ora posso aprire un browser web e passare a https://<ASA Indirizzo IP>/. Nel nostro caso, sarà https://192.168.10.1/. Probabilmente si otterrà un errore di certificato perché il computer non riconosce il certificato digitale dell’ASA.
Come puoi vedere, possiamo eseguire ASDM come applicazione locale (ASDM launcher installato sul nostro computer) o come applicazione Java Web Start. Cerchiamo prima di tentare di installare il lanciatore ASDM perché, una volta installato, non avremo bisogno di connettersi utilizzando un browser web più. Capirai perché ho detto “tentativo” mentre continui a leggere.
Quando ho fatto clic sul pulsante “Installa ASDM Launcher”, ho ottenuto una finestra di dialogo di autenticazione come mostrato di seguito:
Ho lasciato la configurazione predefinita del mio ASA così com’era, il che significa che non ho configurato nome utente o password. Lasciando vuoti i campi nome utente e password e facendo clic sul pulsante OK, il prompt è scomparso e sono stato in grado di “Eseguire” il file di installazione. *scrollate di spalle *
Al termine dell’installazione, si apre ASDM launcher ed è possibile specificare l’indirizzo IP, il nome utente e le impostazioni della password.
Ora sarà un buon momento per configurare il nome utente / password sul ASA. Per impostazione predefinita, l’ASA utilizzerà il suo database locale per l’autenticazione delle connessioni HTTP, quindi non è necessario specificarlo esplicitamente.
Quando clicco sul pulsante “OK”, ottengo un errore: Impossibile avviare Gestione periferiche da <Indirizzo IP ASA>.
Ho fatto una ricerca su questo errore e ho scoperto che ha a che fare con la mia versione Java, che è la versione 7, aggiornamento 51. Ci sono un paio di soluzioni alternative per questo, incluso il downgrade della versione Java (ouch) o l’esecuzione di ASDM tramite Java Web Start tramite il browser Web. È possibile visualizzare questo thread per i dettagli completi sulla correzione di questo errore. In questo articolo, ci sarà solo ripiegare al Java Web Start.
Cliccando su quel link si attiverà un download che, una volta aperto, farà apparire il Launcher ASDM simile a quello che abbiamo visto sopra ma senza il campo indirizzo IP del dispositivo.
Dopo aver specificato il nome utente e la password corretti, il lanciatore ASDM otterrà il software aggiornato come mostrato di seguito:
Una volta che è completo, ci viene presentato con l’interfaccia ASDM per tale ASA.
Ora si può giocare con ASDM! J Ricordarsi di salvare la configurazione.
Sommario
In questo articolo, abbiamo visto come abilitare l’ASDM su un dispositivo ASA in esecuzione in GNS3. Ricapitoliamo di nuovo i passaggi: Assicurarsi che l’ASA possa accedere al server TFTP; specificare la directory del file immagine ASDM sul server TFTP; copiare l’immagine ASDM dal server TFTP all’ASA utilizzando il comando copia tftp: flash:; abilitare l’immagine ASDM sull’ASA; abilitare il server HTTP; configurare gli host consentiti; configurare nome utente e password; aprire il browser all’indirizzo IP di ASA utilizzando HTTPS.
Questo articolo prepara la strada per la serie ASDM che seguirà. Spero che tu abbia trovato utile questo articolo.
Ulteriori letture
-
Guida alla configurazione della riga di comando di Cisco Security Appliance, versione 7.2: gestione dell’accesso al sistema: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
Impossibile avviare Gestione periferiche-Problema ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue