Gestión remota de Cisco ASA - SSH/ASDM

Gestión remota de Cisco ASA - SSH/ASDM

- in Security
1635
0

Por default la administración por SSH, telnet o https está deshabilitada.

En primer lugar debemos tener configurada la interfaz management del equipo, algo similar a:

ASA-JMCristobal# sh run interface Management0/0
!
interface Management0/0
management-only
nameif management
security-level 100
ip address 10.1.1.10 255.255.255.0

Habilitar SSH

Paso 1 – Configurar las llaves RSA

ASA-JMCristobal(config)# crypto key generate rsa modulus 1024
Keypair generation process begin. Please wait…

Paso 2 – Configurar por lo menos un usuario local

ASA-JMCristobal(config)# username MyUser password MyPass privilege 15

Paso 3 – Definir que la autenticación utilice la base de datos local del ASA en sesiones SSH

ASA-JMCristobal(config)# aaa authentication ssh console LOCAL

Paso 4 – Habilitamos SSH y permitimos las conexiones sólo para la interfaz management desde cualquier dirección IP:

ASA-JMCristobal(config)# ssh 0.0.0.0 0.0.0.0 management

Se puede definir sólo algunos segmentos de red o hosts particulares que tengan acceso por SSH, cada segmento de red o host debe definirse en una línea diferente. En la línea anterior management hace referencia al nombre de la interfaz y no al tipo/número de la interfaz.

Habilitar administración por ASDM

ASDM es el gestor GUI del ASA.

Paso 1 - Validar que existe una versión de ASDM en el ASA

ASA-JMCristobal(config)# dir 
Directory of disk0:/
805673907  -rw-  33696476     16:31:35 Nov 17 2020  asdm.bin
1 file(s) total size: 33696476 bytes
21475885056 bytes total (21285044224 bytes free/99% free)

Si el archivo no existe es necesario subir una versión compatible con el equipo vía FTP, SCP u otro protocolo.

Paso 2 – Configurar por lo menos un usuario local

ASA-JMCristobal(config)# username MyUser password MyPass privilege 15

Paso 3 – Definir que la autenticación utilice la base de datos local del ASA en sesiones SSH

ASA-JMCristobal(config)# aaa authentication http console LOCAL

Paso 4 - Habilitar http server

ASA-JMCristobal(config)# http server enable

Paso 5 – Permitir conexiones http sólo para la interfaz management desde cualquier dirección IP

ASA-JMCristobal(config)# http 0.0.0.0 0.0.0.0 management

Puede definir sólo algunos segmentos de red o hosts particulares que tengan acceso con el ASDM, cada segmento de red o host debe ser definido en una línea diferente. En la línea anterior management se refiere al nombre de la interfaz y no al tipo/número de interfaz.

Ahora sólo queda entrar a través de un navegador web a la dirección IP del ASA para descargar el ASDM, instalarlo y finalmente conectarse a través de esta aplicación.

Facebook Comments

You may also like

Creación de un entorno virtual con VENV - Python

This article teaches how to set up a