Neurodump

Hat der Benutzer seine Cisco ASA 5505 nun endlich ausgepackt, gestartet, Serial online, gefreut, Hostnamen eingestellt und… ja konfiguriert? Ja, möglicherweise gibt es da einen Hackenfuß. Auf beiliegenden Datenträgern wird der Benutzer unter Umständen nicht fündig, noch spricht die ASA HTTP über ein Interface. Der Quick Start Guide ist ebenso wenig hilfreich, da es oft nicht am Kabel anstecken hapert. Somit bleibt dem Anfänger das Rätsel: Wo ist mein Web-Interface zum Konfigurieren hin? Natürlich birgt die beiliegende CD ganz viel interessanter Sachen, aber leider sucht der Benutzer vergebens, was er nun gerade braucht. 🙂

Nun gut. Kabel angesteckt, also PC an die ASA, bzw. ASA an das Switch. Ein DHCP Server könnte konfiguriert werden, aber dies wird hier an der Stelle nicht beschrieben, da oft der PC und das Netzwerk an sich läuft. Es wird aber kurz auf die Vergabe von IPs und so weiter eingegangen. So, die Lampen leuchten schonmal. Nun schaut der Benutzer auf die Kommandozeile oder Powershell seines Windows Systems und betrachtet die IP Konfiguration. Hier ein Beispiel:

C:\> ipconfig /all
Ethernet-Adapter LAN-Verbindung:

Verbindungsspezifisches DNS-Suffix:
Beschreibung. . . . . . . . . . . : Intel(R) 82577LM Gigabit Network Connection
Physikalische Adresse . . . . . . : 00-88-42-23-32-64
DHCP aktiviert. . . . . . . . . . : Nein
Autokonfiguration aktiviert . . . : Ja
IPv6-Adresse. . . . . . . . . . . : fd23:4264:c0ff:ee42::116(Bevorzugt)
Verbindungslokale IPv6-Adresse . : fe80::dead:beef:1338:4242%10(Bevorzugt)
IPv4-Adresse . . . . . . . . . . : 192.168.42.116(Bevorzugt)
Subnetzmaske . . . . . . . . . . : 255.255.255.0
Standardgateway . . . . . . . . . : 192.168.42.254
DHCPv6-IAID . . . . . . . . . . . : 240975669
DHCPv6-Client-DUID. . . . . . . . : 00-01-01-01-13-46-71-5A-5C-AB-35-21-FF-9A
DNS-Server . . . . . . . . . . . : 192.168.42.1
208.67.222.222
208.67.220.220
8.8.8.8
NetBIOS über TCP/IP . . . . . . . : Aktiviert


Gut, die ASA braucht jetzt eine neue IP, die im gleichen Subnetz liegt und frei ist. Es wird der Port 0 konfiguriert, als Ethernet 0/0. Es wird angenommen, dass die IP 192.168.42.200 frei ist. Also los geht es auf der ASA. Dazu verbinde man das serielle Kabel und klinkt sich auf die Serielle Schnittstelle ein. Hat der PC kein COM Port mehr, hilft ein billiger USB to serial Converter von ebay (Ich hab den von Digitus probiert und er läuft gut.). Nun noch PuTTY herunterladen und starten. Unter dem Gerätemanager in Windows kann nachgesehen werden, welcher COM Port virtuellerweise der USB Adapter bekommen hat. Nun auf serielle Verbindung klicken und oben den Port angeben, bei mir ist das COM11. 9600 Baud braucht das Gerät, also unter Speed 9600 eintragen. Und poff, nun sollten Zeichen auf der Console erscheinen. Etwas auf Enter drücken, da kommt dann die Shell. Nun einloggen.

ciscoasa> enable
ciscoasa# conf t
ciscoasa(config)# interface vlan 23
ciscoasa(config-if)# nameif mgnt
ciscoasa(config-if)# security-level 100
ciscoasa(config-if)# ip address 192.168.42.200 255.255.255.0
ciscoasa(config-if)# no shut
ciscoasa(config-if)# end
ciscoasa# conf t
ciscoasa(config)# interface Ethernet 0/0
ciscoasa(config-if)# switchport access vlan 23
ciscoasa(config-if)# no shut
ciscoasa(config-if)# end
ciscoasa#


Nun sollte die ASA auf dem Port 0 unter der eingegebenen IP erreichbar sein. Unter Windows einfach mal mithilfe der Kommandozeile anpingen:

C:\Users\Neurodump>ping 192.168.42.200

Ping wird ausgeführt für 192.168.42.200 mit 32 Bytes Daten:
Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255
Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255
Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255
Antwort von 192.168.42.200: Bytes=32 Zeit<1ms TTL=255

Ping-Statistik für 192.168.42.200:
Pakete: Gesendet = 4, Empfangen = 4, Verloren = 0
(0% Verlust),
Ca. Zeitangaben in Millisek.:
Minimum = 0ms, Maximum = 0ms, Mittelwert = 0ms

C:\Users\Neurodump>


Das Tool nmap liefert dem Benutzer eine Portmessung, ob das Port des Webservers offen ist. Dazu muss nmap vorher installiert worden sein. Da später mit https verbunden werden wird, wird hier Port 443 angenommen. Der Port kann bei der ASA frei gewählt werden. Hier werden allerdings die Standardeinstellungen verwendet werden. Nun sollte das Port des HTTPS Servers auf der ASA nicht offen sein, da noch keine Konfiguration erfolgt ist. nmap sollte hier keinen offenen Port zeigen.

C:\Users\Neurodump>nmap -sT -p 443 192.168.42.200

Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 12:57 Mitteleuropäische Sommerzeit
Nmap scan report for 192.168.42.200
Host is up (0.0020s latency).
PORT STATE SERVICE
443/tcp filtered https
MAC Address: 88:43:F1:10:E1:AA (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 1.23 seconds

C:\Users\Neurodump>


nmap zeigt den Port als „filtered“ an, also kommt keine Antwort zurück. Das Port ist also nicht geschlossen, sondern die Firewall blockiert den Port komplett. Wurde das Konfigrurationsziel erreicht, so wird der Port als open erscheinen. Jetzt braucht es allerdings noch eine kleine Sache: Es braucht einen Benutzer, der die höchsten Rechte besitzt. Das bedeutet in dem Fall Level 15 Rechte. Die werden folgendermaßen konfiguriert. Danach aktiviert der Benutzer den HTTP Server der ASA.

ciscoasa# conf t
ciscoasa(config)# username admin password cisco privilege 15
ciscoasa(config)# aaa authentication http console LOCAL
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.42.0 255.255.255.0 mgmt
ciscoasa(config)# end


Nun wird wieder per nmap gecheckt, ob der Port un offen ist.

C:\Users\Neurodump>nmap -sT -p 443 192.168.42.200

Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 14:43 Mitteleuropõische Som
merzeit
Nmap scan report for 192.168.42.200
Host is up (0.0022s latency).
PORT STATE SERVICE
443/tcp open https
MAC Address: 88:43:F1:10:E1:AA (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 0.98 seconds

C:\Users\Neurodump>


So, der HTTP Server ist nun bereit. Nun wird der SSH Dienst konfiguriert. Auf diese Weise muss nicht immer per seriellem Kabel mit der ASA kommuniziert werden.

ciscoasa# conf t
ciscoasa(config)# crypto key generate rsa modulus 2048
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
ciscoasa(config)# write mem
Building configuration...
Cryptochecksum: 3bb9a222 98aaad52 381457af 7e7e9678

2261 bytes copied in 1.630 secs (2261 bytes/sec)
[OK]


Nun wird definiert, welche IP Range sich auf den SSH Dienst verbinden darf. Es muss für den SSH Zugang das Subnetz und das Interface angegeben werden, wo der SSH Dienst arbeiten soll. Der Benutzer muss vorher die Interfacenamen vergeben haben. Ist das der Fall, so tauchen dir mit dem ? Operator einfach auf und gut. Wenn nicht, müssen sie mit nameif in der Interfacekonfiguration definiert werden.

ciscoasa(config)# ssh 192.168.42.0 255.255.255.0 ?

configure mode commands/options:
Current available interface(s):
inside Name of interface Vlan1
mgmt Name of interface Vlan23
ciscoasa(config)# ssh 192.168.42.0 255.255.255.0 mgmt
ciscoasa(config)# username admin password cisco privilege 15
ciscoasa(config)# aaa authentication ssh console LOCAL
ciscoasa(config)# end
ciscoasa#


Nun sollte der SSH Dienst auf dem Port 22 aktiv sein und funktionieren. Getestet wird das fix per nmap.

C:\Users\Neurodump>nmap -sT -p 22 192.168.42.200

Starting Nmap 5.21 ( http://nmap.org ) at 2012-04-18 14:03 Mitteleuropõische Som
merzeit
Nmap scan report for 192.168.42.200
Host is up (0.00025s latency).
PORT STATE SERVICE
22/tcp open ssh
MAC Address: 88:43:F1:10:E1:AA (Unknown)

Nmap done: 1 IP address (1 host up) scanned in 15.53 seconds

C:\Users\Neurodump>


Sieht gut aus, nun wird per PuTTY getestet, ob ein Zugang zum System möglich ist. Dazu entsprechend SSH wählen, Port 22 und die IP der ASA. Hier die Ausgabe der Console unter SSH mit PuTTY.

login as: admin
admin@192.168.42.200's password:
Type help or '?' for a list of available commands.
ciscoasa> login
Username: admin
Password: *****
ciscoasa#


Ausgezeichnet. Nun kann die ASA statt mit dem seriellen Kabel auch mit SSH sicher administriert werden. Final noch die Dinge speichern!

ciscoasa# copy run start

Source filename [running-config]?
Cryptochecksum: 116d4683 e8723782 a00ee28c a1264354

2418 bytes copied in 1.600 secs (2418 bytes/sec)
ciscoasa#


Fertig. Nun mit der IP Adresse auf den Router verbinden und die ASDM Sachen herunterladen und weiter gehts mit dem Tool.