het opzetten van ASDM op de Cisco ASA in GNS3
een van de onderwerpen die wordt getest op het CCNA security exam is de adaptive security service manager (ASDM) van de Cisco ASA. Dit artikel zal je door middel van GNS3 de ASDM “installeren” op een Cisco ASA. Dit zal nuttig zijn voor degenen die zich vertrouwd willen maken met de ASDM-interface (de manier waarop we hebben gedaan in de CCP-serie).
we hebben een TFTP-server nodig, het ASDM-imagebestand en de ASA waarop we het willen installeren. Onze lab setup zal slechts één ASA en één host (mijn laptop) bevatten, die zal fungeren als zowel de TFTP-server als de computer die we zullen gebruiken om de ASDM te starten wanneer deze klaar is. De GNS3 topologie wordt hieronder getoond:
merk op dat ik een switch heb gebruikt om de host en de ASA aan te sluiten omdat GNS3 het niet ondersteunt om een cloud/host rechtstreeks aan te sluiten op een ASA. De switch is gewoon een “Ethernet switch” en alle poorten zijn in dezelfde VLAN (hoewel je dat kunt veranderen).
het eerste wat we willen doen is ervoor zorgen dat de host en de ASA kunnen communiceren. We zullen het 192.168.10.0/24 subnet gebruiken.
merk op dat, hoewel in de GNS3 topologie de ASA interfaces worden geïdentificeerd met” e ” (betekenend Ethernet?), ze zijn eigenlijk Gigabit Ethernet interfaces. De ping laat ook zien dat ik kan communiceren met mijn host PC (192.168.10.10).
nu we communicatie hebben, is het volgende wat we moeten doen het laden van de ASDM image naar de ASA. Er zijn verschillende opties, waaronder HTTP, FTP en TFTP, maar we blijven bij TFTP vanwege de eenvoud. Een van de beste TFTP servers die ik heb gebruikt is 3CDaemon en het kan ook fungeren als een FTP of Syslog server. U kunt hier gratis TFTP-servers, waaronder 3CDaemon, downloaden. De 3cdaemon-interface wordt hieronder weergegeven:
merk op dat, wanneer het opstart, 3CDaemon luistert naar verzoeken op al uw actieve interfaces, zodat u niet hoeft te doen iets speciaals om het te laten luisteren naar Verzoeken. We moeten echter de locatie van onze ASDM-afbeelding configureren door op “Configure TFTP-Server configureren” te klikken.”
zodra u klaar bent, kunt u klikken op de knop Toepassen om de wijzigingen die u hebt gemaakt op te slaan. We zullen nu de ASDM image kopiëren naar de ASA met behulp van het copy tftp: flash: Commando.
opmerking: kopieer tftp: disk0: werkt ook.
merk op dat ik na het uitvoeren van het copy commando de opties kan opgeven, zoals het IP-adres van de TFTP-server en de bestandsnaam. Ik had al die opties in de opdracht Kopiëren kunnen specificeren, maar ik geef de voorkeur aan deze methode omdat het gemakkelijker is dan syntaxis te onthouden. Ook, in gedachten houden dat, bij het opgeven van de bestandsnaam, moet u ook de extensie opgeven, bijvoorbeeld,”.bin ” of de TFTP-server zal niet in staat zijn om het bestand dat u aanvraagt te vinden. Terwijl het bestand wordt gekopieerd, kunt u de status bekijken in 3CDaemon, zoals hieronder getoond:
als dit proces is voltooid, zal ASA de ASDM image schrijven en zal je de prompt krijgen waar je gebleven was.
op dit moment, ook al is het ASDM-bestand gekopieerd naar de ASA ‘ s flash, moeten we nog steeds specificeren dat het een ASDM-bestand was dat we gekopieerd hebben (het had immers elk ander bestand kunnen zijn). We doen dit met het ASDM image <bestandslocatie> globale configuratie commando. Als je de naam van het bestand niet weet, gebruik dan gewoon het show flash of show disk0: commando om de naam te krijgen.
als de opdracht succesvol is, kunt u de opdracht show version gebruiken om de geà nstalleerde ASDM-afbeelding te zien. Het ASDM image Commando tonen is ook nuttig.
net als Telnet of SSH, moeten we specificeren welke hosts verbinding kunnen maken met de ASA via de ASDM. Vergeet niet dat de ASDM wordt benaderd via een webinterface, dat wil zeggen HTTPS, dus we moeten eerst de HTTPS-server inschakelen.
uit de bovenstaande screenshot kunt u zien dat ik de HTTPS-server heb ingeschakeld en de ASA heb geconfigureerd om het 192.168.10.0/24 subnet op de binneninterface toe te staan.
ik kan nu een webbrowser openen en naar https://<ASA IP-adres> / navigeren. In ons geval zal het https://192.168.10.1/zijn. U krijgt waarschijnlijk een certificaatfout omdat uw computer het digitale certificaat van ASA niet herkent.
zoals je kunt zien, kunnen we ASDM uitvoeren als een lokale toepassing (ASDM launcher geïnstalleerd op onze computer) of als een Java Web Start applicatie. Laten we eerst proberen om de ASDM launcher te installeren, omdat, zodra het is geïnstalleerd, we zullen niet nodig om verbinding te maken met behulp van een webbrowser meer. Je zult begrijpen waarom ik “poging” zei terwijl je verder leest.
toen ik op de “Install ASDM Launcher” knop klikte, kreeg ik een authenticatie dialoogvenster zoals hieronder getoond:
ik liet de standaard configuratie van mijn ASA zoals het was, wat betekent dat ik geen gebruikersnaam of wachtwoord heb geconfigureerd. Door het verlaten van de gebruikersnaam en wachtwoord velden leeg en te klikken op de OK knop, de prompt verdwenen en ik was in staat om ” Run ” het installatiebestand. *shrugs *
wanneer de installatie is voltooid, wordt de ASDM-launcher geopend en kunt u het IP-adres, de gebruikersnaam en de wachtwoordinstellingen opgeven.
nu is het een goed moment om de gebruikersnaam/wachtwoord op de ASA te configureren. Standaard zal de ASA zijn lokale database gebruiken voor het authenticeren van HTTP verbindingen, dus we hoeven dat niet expliciet op te geven.
als ik op de “OK” knop klik, krijg ik een fout: device manager kan niet gestart worden vanaf <ASA IP adres>.
ik heb een zoekopdracht op deze fout en vond dat het te maken heeft met mijn Java-versie, dat is Versie 7, update 51. Er zijn een paar oplossingen voor dit, met inbegrip van downgrading uw Java-versie (ouch) of het uitvoeren van ASDM via de Java Web Start via de webbrowser. U kunt deze draad bekijken voor de volledige details over de vaststelling van deze fout. In dit artikel, we zullen gewoon terugvallen op de Java Web Start.
Als u op die link klikt, wordt een download geactiveerd die, wanneer geopend, de ASDM-Launcher zal oproepen die vergelijkbaar is met die we hierboven zagen, maar zonder het IP-adres van het apparaat veld.
nadat we de juiste gebruikersnaam en wachtwoord opgeven, krijgt de ASDM launcher de bijgewerkte software zoals hieronder getoond:
Zodra dat is voltooid, krijgen we de ASDM interface voor die ASA.
nu kun je spelen met ASDM! J vergeet niet om uw configuratie op te slaan.
samenvatting
In dit artikel hebben we gezien hoe de ASDM kan worden ingeschakeld op een Asa-apparaat dat draait in GNS3. Laten we de stappen nogmaals herhalen: zorg ervoor dat de ASA toegang heeft tot de TFTP server; geef de ASDM image file directory op de TFTP server; kopieer de ASDM image van de TFTP server naar de ASA met behulp van de kopie TFTP: flash: Commando; schakel de ASDM image op de ASA; schakel de HTTP server; configureer toegestane host(s); configureer gebruikersnaam en wachtwoord; open browser naar ASA ‘ s IP-adres met behulp van HTTPS.
dit artikel bereidt de weg voor voor de volgende ASDM-serie. Ik hoop dat je dit artikel nuttig hebt gevonden.
verder lezen
-
Cisco Security Appliance Command Line Configuration Guide, Versie 7.2: systeemtoegang beheren: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
kan Apparaatbeheer-ASDM probleem niet starten: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue