configurar ASDM no Cisco ASA no GNS3
Um dos temas que é testado no CCNA security exame é o adaptive security service manager (ASDM) do Cisco ASA. Este artigo irá guiá-lo através da “instalação” do ASDM em um Cisco ASA através do GNS3. Isso será útil para aqueles que desejam se familiarizar com a interface ASDM (como temos feito na série CCP).
precisaremos de um servidor TFTP, o arquivo de imagem ASDM e o ASA no qual queremos instalá-lo. Nossa configuração de laboratório conterá apenas um ASA e um host (meu laptop), que atuará como o servidor TFTP e o computador que usaremos para iniciar o ASDM quando terminar. A topologia GNS3 é mostrada abaixo:
observe que usei um switch para conectar o host e o ASA porque o GNS3 não suporta a conexão de uma nuvem/host diretamente a um ASA. O switch é apenas um “switch Ethernet” e todas as portas estão na mesma VLAN (embora você possa alterar isso).
a primeira coisa que queremos fazer é garantir que o host e o ASA possam se comunicar. Vamos usar a sub-rede 192.168.10.0 / 24.
observe que, embora na topologia GNS3 as interfaces ASA sejam identificadas com ” e ” (significando Ethernet?), eles são realmente interfaces Gigabit Ethernet. O ping também revela que posso me comunicar com meu PC host (192.168.10.10).
agora que temos comunicação, a próxima coisa que precisamos fazer é carregar a imagem ASDM no ASA. Existem várias opções, incluindo HTTP, FTP e TFTP, mas vamos ficar com TFTP por causa de sua simplicidade. Um dos melhores servidores TFTP que usei é o 3cdaemon e também pode atuar como um servidor FTP ou Syslog. Você pode baixar servidores TFTP gratuitos, incluindo 3cdaemon aqui. O 3CDaemon interface é mostrada abaixo:
Repare que, quando ele é iniciado, 3CDaemon escuta as solicitações em todas as interfaces ativas, assim você não precisa fazer nada de especial para obtê-lo para escutar as solicitações. No entanto, temos que configurar a localização da nossa imagem ASDM clicando em “Configurar servidor TFTP.”
depois de terminar, você pode clicar no botão Aplicar para salvar as alterações feitas. Agora copiaremos a imagem ASDM para o ASA usando o comando copy tftp: flash:.
nota: copiar tftp: disk0: também funcionará.
observe que, depois de emitir o comando copy, posso especificar as opções, como o endereço IP do servidor TFTP e o nome do arquivo. Eu poderia ter especificado todas essas opções no comando copy, mas prefiro esse método porque é mais fácil do que ter que lembrar a sintaxe. Além disso, lembre-se de que, ao especificar o nome do arquivo, você também deve especificar a extensão, por exemplo,”.bin ” ou o servidor TFTP não será capaz de localizar o arquivo que você está solicitando. Enquanto o arquivo está sendo copiado, você pode visualizar o status no 3CDaemon, como mostrado abaixo:
Quando esse processo for concluído, o ASA vai escrever o ASDM imagem e você será presenteado com a linha de comandos onde você parou.
neste ponto, embora o arquivo ASDM tenha sido copiado para o Flash do ASA, ainda precisamos especificar que era um arquivo ASDM que copiamos (afinal, poderia ter sido qualquer outro arquivo). Fazemos isso usando o comando de configuração global ASDM image <file location>. Se você não souber o nome do arquivo, basta usar o comando show flash ou show disk0: para obter o nome.
Se o comando for bem sucedido, você pode usar o comando show version para ver o ASDM de imagem instalado. O comando show ASDM image também é útil.
assim como Telnet ou SSH, precisamos especificar quais hosts podem se conectar ao ASA por meio do ASDM. Lembre-se de que o ASDM é acessado por meio de uma interface da web, ou seja, HTTPS, portanto, devemos primeiro habilitar o servidor HTTPS.
na captura de tela acima, você pode ver que habilitei o servidor HTTPS e configurei o ASA para permitir a sub-rede 192.168.10.0/24 na interface interna.
agora posso abrir um navegador da web e navegar para https://<ASA endereço IP>/. No nosso caso, será https://192.168.10.1/. Você provavelmente receberá um erro de certificado porque seu computador não reconhece o certificado digital do ASA.
Como você pode ver, podemos executar ASDM como uma aplicação local (ASDM lançador instalado no nosso computador) ou como o Java Web Start da aplicação. Vamos primeiro tentar instalar o ASDM launcher porque, uma vez instalado, não precisaremos mais nos conectar usando um navegador da web. Você vai entender por que eu disse “tentativa” enquanto você lê.
Quando eu cliquei em “Instalar ASDM Lançador” botão, eu tenho uma caixa de diálogo de autenticação, como mostrado abaixo:
eu deixei a configuração padrão da minha ASA, como foi, o que significa que eu não configurar o nome de usuário ou senha. Ao deixar os campos de nome de usuário e senha vazios e clicar no botão OK, o prompt desapareceu e eu consegui “executar” o arquivo de instalação. *encolhe os ombros *
quando a instalação é feita, o iniciador ASDM é aberto e você pode especificar as configurações de endereço IP, nome de usuário e senha.
agora será um bom momento para configurar o nome de usuário/senha no ASA. Por padrão, o ASA usará seu banco de dados local para autenticar conexões HTTP, portanto, não precisamos especificar explicitamente isso.
Quando eu clicar no botão “OK”, eu recebo um erro: não é Possível iniciar o gerenciador de dispositivos a partir de <ASA endereço IP>.
fiz uma pesquisa sobre esse erro e descobri que isso tem a ver com minha versão Java, que é a versão 7, atualização 51. Existem algumas soluções alternativas para isso, incluindo rebaixar sua versão Java (ouch) ou executar o ASDM por meio do Java Web Start por meio do navegador da web. Você pode visualizar este tópico para obter detalhes completos sobre como corrigir esse erro. Neste artigo, vamos apenas voltar para o Java Web Start.
clicar nesse link acionará um download que, quando aberto, abrirá o iniciador ASDM semelhante ao que vimos acima, mas sem o campo de endereço IP do dispositivo.
Depois de especificar o nome de utilizador correcta e a palavra-passe, o ASDM lançador irá obter o software atualizado, conforme mostrado abaixo:
uma Vez que está concluída, somos presenteados com o ASDM interface para o ASA.
Agora você pode brincar com ASDM! J lembre-se de salvar sua configuração.
resumo
neste artigo, vimos como habilitar o ASDM em um dispositivo ASA em execução no GNS3. Vamos recapitular os passos novamente: certifique-se de que a ASA pode acessar o servidor de TFTP; especificar o ASDM arquivo de imagem de diretório no servidor TFTP; copiar o ASDM imagem a partir do servidor TFTP para o ASA, usando copy tftp flash: comando; habilitar o ASDM imagem na ASA; permitir que o servidor HTTP; configurar permitido host(s); configurar o nome de usuário e senha; abrir o navegador para ASA endereço IP usando HTTPS.
este artigo prepara o caminho para a série ASDM que se seguirá. Espero que você tenha achado este artigo útil.
Leitura Adicional
-
Guia de configuração da linha de comando do Cisco Security Appliance, Versão 7.2: Gerenciando o acesso ao sistema: http://www.cisco.com/c/en/us/td/docs/security/asa/asa72/configuration/guide/conf_gd/mgaccess.html#wp1047288
-
não é possível iniciar o Gerenciador de dispositivos-problema ASDM: https://supportforums.cisco.com/discussion/12077481/unable-launch-device-manager-asdm-issue