Wie lade ich ASDM von einer Cisco ASA 5505 herunter und installiere es?

Hat der Benutzer seine Cisco ASA 5505 nun endlich ausgepackt, gestartet, Serial online, gefreut, Hostnamen eingestellt und… ja konfiguriert? Ja, möglicherweise gibt es da einen Hackenfuß. Auf beiliegenden Datenträgern wird der Benutzer unter Umständen nicht fündig, noch spricht die ASA HTTP über ein Interface. Der Quick Start Guide ist ebenso wenig hilfreich, da es oft nicht am Kabel anstecken hapert. Somit bleibt dem Anfänger das Rätsel: Wo ist mein Web-Interface zum Konfigurieren hin? Natürlich birgt die beiliegende CD ganz viel interessanter Sachen, aber leider sucht der Benutzer vergebens, was er nun gerade braucht. 🙂

Nun gut. Kabel angesteckt, also PC an die ASA, bzw. ASA an das Switch. Ein DHCP Server könnte konfiguriert werden, aber dies wird hier an der Stelle nicht beschrieben, da oft der PC und das Netzwerk an sich läuft. Es wird aber kurz auf die Vergabe von IPs und so weiter eingegangen. So, die Lampen leuchten schonmal. Nun schaut der Benutzer auf die Kommandozeile oder Powershell seines Windows Systems und betrachtet die IP Konfiguration. Hier ein Beispiel:

C:\> ipconfig /all Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix: Beschreibung. . . . . . . . . . . : Intel(R) 82577LM Gigabit Network Connection Physikalische Adresse . . . . . . : 00-88-42-23-32-64 DHCP aktiviert. . . . . . . . . . : Nein Autokonfiguration aktiviert . . . : Ja IPv6-Adresse. . . . . . . . . . . : fd23:4264:c0ff:ee42::116(Bevorzugt) Verbindungslokale IPv6-Adresse . : fe80::dead:beef:1338:4242%10(Bevorzugt) IPv4-Adresse . . . . . . . . . . : 192.168.42.116(Bevorzugt) Subnetzmaske . . . . . . . . . . : 255.255.255.0 Standardgateway . . . . . . . . . : 192.168.42.254 DHCPv6-IAID . . . . . . . . . . . : 240975669 DHCPv6-Client-DUID. . . . . . . . : 00-01-01-01-13-46-71-5A-5C-AB-35-21-FF-9A DNS-Server . . . . . . . . . . . : 192.168.42.1 208.67.222.222 208.67.220.220 8.8.8.8 NetBIOS über TCP/IP . . . . . . . : Aktiviert

Gut, die ASA braucht jetzt eine neue IP, die im gleichen Subnetz liegt und frei ist. Es wird der Port 0 konfiguriert, als Ethernet 0/0. Es wird angenommen, dass die IP 192.168.42.200 frei ist. Also los geht es auf der ASA. Dazu verbinde man das serielle Kabel und klinkt sich auf die Serielle Schnittstelle ein. Hat der PC kein COM Port mehr, hilft ein billiger USB to serial Converter von ebay (Ich hab den von Digitus probiert und er läuft gut.). Nun noch PuTTY herunterladen und starten. Unter dem Gerätemanager in Windows kann nachgesehen werden, welcher COM Port virtuellerweise der USB Adapter bekommen hat. Nun auf serielle Verbindung klicken und oben den Port angeben, bei mir ist das COM11. 9600 Baud braucht das Gerät, also unter Speed 9600 eintragen. Und poff, nun sollten Zeichen auf der Console erscheinen. Etwas auf Enter drücken, da kommt dann die Shell. Nun einloggen.

ciscoasa> enable ciscoasa# conf t ciscoasa(config)# interface vlan 23 ciscoasa(config-if)# nameif mgnt ciscoasa(config-if)# security-level 100 ciscoasa(config-if)# ip address 192.168.42.200 255.255.255.0 ciscoasa(config-if)# no shut ciscoasa(config-if)# end ciscoasa# conf t ciscoasa(config)# interface Ethernet 0/0 ciscoasa(config-if)# switchport access vlan 23 ciscoasa(config-if)# no shut ciscoasa(config-if)# end ciscoasa#

Nun sollte die ASA auf dem Port 0 unter der eingegebenen IP erreichbar sein. Unter Windows einfach mal mithilfe der Kommandozeile anpingen:

C:\Users\Neurodump>ping 192.168.42.200


Ping wird ausgeführt für 192.168.42.200 mit 32 Bytes Daten:

Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255

Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255

Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255

Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255
Ping-Statistik für 192.168.42.200:

Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0

(0% Verlust),

Ca. Zeitangaben in Millisek.:

Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Users\Neurodump>

Das Tool nmap liefert dem Benutzer eine Portmessung, ob das Port des Webservers offen ist. Dazu muss nmap vorher installiert worden sein. Da später mit https verbunden werden wird, wird hier Port 443 angenommen. Der Port kann bei der ASA frei gewählt werden. Hier werden allerdings die Standardeinstellungen verwendet werden. Nun sollte das Port des HTTPS Servers auf der ASA nicht offen sein, da noch keine Konfiguration erfolgt ist. nmap sollte hier keinen offenen Port zeigen.

C:\Users\Neurodump>nmap -sT -p 443 192.168.42.200


Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 12:57 Mitteleuropäische Sommerzeit

Nmap scan report for 192.168.42.200

Host is up (0.0020s latency).

PORT STATE SERVICE

443/tcp filtered https

MAC Address: 88:43:F1:10:E1:AA (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds

C:\Users\Neurodump>

nmap zeigt den Port als „filtered“ an, also kommt keine Antwort zurück. Das Port ist also nicht geschlossen, sondern die Firewall blockiert den Port komplett. Wurde das Konfigrurationsziel erreicht, so wird der Port als open erscheinen. Jetzt braucht es allerdings noch eine kleine Sache: Es braucht einen Benutzer, der die höchsten Rechte besitzt. Das bedeutet in dem Fall Level 15 Rechte. Die werden folgendermaßen konfiguriert. Danach aktiviert der Benutzer den HTTP Server der ASA.

ciscoasa# conf t ciscoasa(config)# username admin password cisco privilege 15 ciscoasa(config)# aaa authentication http console LOCAL ciscoasa(config)# http server enable ciscoasa(config)# http 192.168.42.0 255.255.255.0 mgmt ciscoasa(config)# end

Nun wird wieder per nmap gecheckt, ob der Port un offen ist.

C:\Users\Neurodump>nmap -sT -p 443 192.168.42.200


Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 14:43 Mitteleuropõische Som

merzeit

Nmap scan report for 192.168.42.200

Host is up (0.0022s latency).

PORT STATE SERVICE

443/tcp open https

MAC Address: 88:43:F1:10:E1:AA (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 0.98 seconds

C:\Users\Neurodump>

So, der HTTP Server ist nun bereit. Nun wird der SSH Dienst konfiguriert. Auf diese Weise muss nicht immer per seriellem Kabel mit der ASA kommuniziert werden.

ciscoasa# conf t ciscoasa(config)# crypto key generate rsa modulus 2048 INFO: The name for the keys will be: <Default-RSA-Key> Keypair generation process begin. Please wait... ciscoasa(config)# write mem Building configuration... Cryptochecksum: 3bb9a222 98aaad52 381457af 7e7e9678

2261 bytes copied in 1.630 secs (2261 bytes/sec) [OK]

Nun wird definiert, welche IP Range sich auf den SSH Dienst verbinden darf. Es muss für den SSH Zugang das Subnetz und das Interface angegeben werden, wo der SSH Dienst arbeiten soll. Der Benutzer muss vorher die Interfacenamen vergeben haben. Ist das der Fall, so tauchen dir mit dem ? Operator einfach auf und gut. Wenn nicht, müssen sie mit nameif in der Interfacekonfiguration definiert werden.

ciscoasa(config)# ssh 192.168.42.0 255.255.255.0 ?

configure mode commands/options: Current available interface(s): inside Name of interface Vlan1 mgmt Name of interface Vlan23 ciscoasa(config)# ssh 192.168.42.0 255.255.255.0 mgmt ciscoasa(config)# username admin password cisco privilege 15 ciscoasa(config)# aaa authentication ssh console LOCAL ciscoasa(config)# end ciscoasa#

Nun sollte der SSH Dienst auf dem Port 22 aktiv sein und funktionieren. Getestet wird das fix per nmap.

C:\Users\Neurodump>nmap -sT -p 22 192.168.42.200


Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 14:03 Mitteleuropõische Som

merzeit

Nmap scan report for 192.168.42.200

Host is up (0.00025s latency).

PORT STATE SERVICE

22/tcp open ssh

MAC Address: 88:43:F1:10:E1:AA (Unknown)
Nmap done: 1 IP address (1 host up) scanned in 15.53 seconds

C:\Users\Neurodump>

Sieht gut aus, nun wird per PuTTY getestet, ob ein Zugang zum System möglich ist. Dazu entsprechend SSH wählen, Port 22 und die IP der ASA. Hier die Ausgabe der Console unter SSH mit PuTTY.

login as: admin admin@192.168.42.200's password: Type help or '?' for a list of available commands. ciscoasa> login Username: admin Password: ***** ciscoasa#

Ausgezeichnet. Nun kann die ASA statt mit dem seriellen Kabel auch mit SSH sicher administriert werden. Final noch die Dinge speichern!

ciscoasa# copy run start


Source filename [running-config]?

Cryptochecksum: 116d4683 e8723782 a00ee28c a1264354

2418 bytes copied in 1.600 secs (2418 bytes/sec) ciscoasa#

Fertig. Nun mit der IP Adresse auf den Router verbinden und die ASDM Sachen herunterladen und weiter gehts mit dem Tool.