Cisco ASA Firmware Upgrade Prosedürü     

Yaklaşık 7 yıldır bazı dönemler az bazı dönemlerde aşırı yoğun şekilde Cisco ASA (Adaptive Security Appliance) firewall ailesi ile çalışıyorum. Cisco’da firewall tarafı PIX ile başlayıp, 5500 serisi, 5500-X serisi, IPS modüllü, CX modüllü, sourcefire modüllü şeklinde gitmektedir. Bu süreç içerisinde ortak olan bir konu var o da iş firmware upgrade’i yapmaya geldiğinde upgrade path’ini (sorunsuz geçiş için takip edilmesi gereken yol) gerçekten anlamış ve uygulamış olmanın gerekmesidir.

asa_upgrade1

asa_upgrade2

asa_upgrade3

asa_upgrade4

 

asa_upgrade5

 

 

Peki bu upgrade path’i neden bu kadar önemli ?

Öncelikle upgrade’lerden beklentimiz bu geçişin sorunsuz yapılmasıdır. Sorunsuzluktan kastımız da tabiki 1000+ kural olan bir firewall’da geçiş sonrası konfigürasyonda kayıplar, eksikler veya hatalar oluşmaması ve cihazın performans olarak yeni sürüme uyumsuz olmamasıdır.

Şu anda çalışan ASA’lara baktığımızda üzerlerindeki code (versiyon) genellikle 7.x , 8.x ve 9.x ‘tir. Tabiki bütün ASA aileleri bu sürümlerin hepsini çalıştıramaz. Örneğin 5500-X olarak çıkan yeni nesil firewall’lar sadece 8.6 veya 9.x ile çalışabilirler (Daha eski sürümlerle çalışabilen 5585-X hariç). Ya da ilk ASA ailesi olan 5500 serisi modeline göre 7.x,  8.0, 8.1, 8.2, 8.3, 8.4 ve  9.x çalıştırabildiği gibi 8.5 , 8.6 veya 8.7 çalıştıramaz. Son olarak ASA 1000V olarak adlandırılan data center seviyesi cloud firewall sadece 8.7 versiyonu ile çalışır.

Upgrade yapacak ise bütün bu durumları bilmemiz gerekiyor. Aksi taktirde elimizdeki 5510 serisi firewall’umuzu 8.3’ten 8.7 ‘ye çıkarmak için saçımızı başımızı yolmamız an meselesi haline gelebilir  🙂

Peki bütün bu bilgileri nereden edineceğiz sorusuna cisco’nun hangi platform’da hangi code’u çalıştırmalıyız şeklinde verdiği matrix  ile cevap verebiliriz.

 

Tablo1 – Code Uyumluluğu

ASA OS
ASDM
ASA Model
ASA 5505
ASA 5510, 5520, 5540
ASA 5550
ASA 5580
ASA 5512-X, 5515-X, 5525-X, 5545-X, 5555-X
ASA 5585-X
ASASM
ASA 1000V
ASA 7.0
ASDM 5.0.Recommended: 5.0(8).
No
YES
No
No
No
No
No
No
ASA 7.1(1)
ASDM 5.1.Recommended: 5.1(2).
No
YES
No
No
No
No
No
No
ASA 7.1(2)
ASDM 5.1(2)
No
YES
YES
No
No
No
No
No
ASA 7.2
ASDM 5.2.Recommended: 5.2(4).
YES
YES
YES
No
No
No
No
No
ASA 8.0(2)
ASDM 6.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(3)
ASDM 6.0(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(4)
ASDM 6.1(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.0(5)
ASDM 6.2(3) and later.Recommended: 7.1(3).
YES
YES
YES
No
No
No
No
No
ASA 8.1(1)
ASDM 6.1(1) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.1(2)
ASDM 6.1(5) and later.Recommended: 7.1(3).
No
No
No
YES
No
No
No
No
ASA 8.2(1)
ASDM 6.2(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(2)
ASDM 6.2(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.2(3)
ASDM 6.3(4) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(4)
ASDM 6.3(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.2(5)
ASDM 6.4(3) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.3(1)
ASDM 6.3(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.3(2)
ASDM 6.3(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
No
No
No
ASA 8.4(1)
ASDM 6.4(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(2)
ASDM 6.4(5) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(3)
ASDM 6.4(7) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(4.1)1
ASDM 6.4(9) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(5)
ASDM 7.0(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.4(6)
ASDM 7.1(2.102) and later.Recommended: 7.1(3).
YES
YES
YES
YES
No
YES
No
No
ASA 8.5(1)
ASDM 6.5(1).
No
No
No
No
No
No
YES
No
ASA 8.6(1)
ASDM 6.6(1).
No
No
No
No
YES
No
No
No
ASA 8.7(1.1)2
ASDM 6.7(1).
No
No
No
No
No
No
No
YES
ASA 9.0(1)
ASDM 7.0(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(2)
ASDM 7.1(2) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.0(3)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(1)
ASDM 7.1(1) and later.Recommended: 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No
ASA 9.1(2)
ASDM 7.1(3).
YES
YES
YES
YES
YES
YES
YES
No

 

Bu tabloya göre hareket ederek upgrade’i yapmamız sizce yeterli midir? Malesef hayır. Dikkat etmemiz gereken bir diğer konu daha var, o da cihazların üzerindeki memory (RAM) ile yeni code’un gereksinimi olan memory’i karşılamamız.

 

Tablo2 – Ram İhtiyacı

ASA Model Internal Flash Memory (Default Shipping) DRAM (Default Shipping)
Before Feb. 2010 After Feb. 2010 (Required for 8.3 and Higher)
5505 128 MB 256 MB 512 MB
5510 256 MB 256 MB 1 GB
5520 256 MB 512 MB 2 GB
5540 256 MB 1 GB 2 GB
5550 256 MB 4 GB 4GB
5512-X 4 GB N/A 4 GB
5515-X 8 GB N/A 8 GB
5525-X 8 GB N/A 8 GB
5545-X 8 GB N/A 12 GB
5555-X 8 GB N/A 16 GB
5580-20 1 GB 8 GB 8GB
5580-40 1 GB 12 GB 12 GB
5585-X with SSP-10 2 GB N/A 6 GB
5585-X with SSP-20 2 GB N/A 12 GB
5585-X with SSP-40 2 GB N/A 12 GB
5585-X with SSP-60 2 GB N/A 24 GB
ASASM 8 GB N/A 24 GB

 

 

Her iki tablodaki bilgileri kullanarak elimizde şubat 2010 öncesi alınmış bir ASA varsa ve biz bunu 8.4’e upgrade etmek ister isek öncelikle Tablo1’e bakıp code için uyumluluğunu göreceğiz. Ardından da RAM ‘ini kontrol etmemiz gerekecektir.

ASAtest# show ver | i RAM
Hardware:   ASA5510, 256 MB RAM, CPU Pentium 4 Celeron 1599 MHz

 

Görünüşe göre Tablo2 verileri bize bu cihazın RAM ‘inin 1GB’ya çıkarılması gerektiğini söylüyor. Buna göre mevcut donanım ile firmware upgrade ‘ini gerçekleştiremeyiz.

Upgrade path’inin neden önemli olduğunun tekrar altını çizdikten sonra nasıl olacağını konuşalım. Öncelikle bu konuda cisco’nun resmi olarak önerdiği yolu, yani üst seviyelere çıkmak için gereken versiyon geçişlerini izlemeliyiz. Bu yol bize tabiki code 7.0’dan 9.1’e sorunsuz geçeceğimizi söylemeyecek.

Bu noktada cisco’nun ASA’ların image’larını nasıl isimlendirdiği ile devam edelim. Image isimlerini şu şekilde göreceksiniz:

asaXYZ.bin

X: major release number
Y: minor number
Z: maintenance release number

Örneğin: asa841.bin

Şimdi kurallara geçelim:

  • ASA’lar için 8.3 versiyonu bir nevi milat. ASA’ların çalışma prensipleri 8.3 öncesi ve sonrası diye ikiye ayrılıyor. Bu sürümde NAT ve ACL yapısı değişiyor.
  • 8.3 veya sonrasına geçeceksek önerilen şekilde 8.2’ye geçiş yapmamız gerekiyor, diğer sürümlerden geçişi desteklemiyor.
  • Tavsiyem öncelikle üstteki tablolara göz atıp sonrasında gerekirse cisco tarafındaki dökümanlara bakmanız yönünde olacaktır.Aynı major ve minor versiyonlara sahip versiyonlar arasında sorunsuz geçiş yapabiliriz. Örneğin:  8.4.1 ‘den 8.4.7’ye geçebiliriz.
  • Bir minor release’den diğerine geçmek için arada minor release atlayamayız. Örneğin 8.0’dan 8.2’ye direk atlayamayız, arada 8.1’e geçmeliyiz.
  • Bir major release’den diğerine geçmek için ilgili major release içerisinde en son minor release’de olmamız gerekiyor. Örneğin 7.x’ten 8.x’e geçmek için en son sürüm olan 7.2’de olmamız gerekiyor. 7.1’den 8.0’a geçemeyiz.
  • 9.x’e geçmek için 8.3 veya 8.4 olmalıyız (5500 serisi için) ; 8.6 olmalıyız(5500-X serisi için)

Okuduğunuz için teşekkürler. Bir sonraki yazımızda görüşmek üzere.

 

Cisco IOS Banner

Banner, cisco IOS/IOS XR/NX-OS işletim sistemlerine sahip router, switch, firewall gibi cihazlarda login olunup console, telnet, SSH gibi yöntemlerle erişildiğinde cihaz tarafından verilen karşılama, bilgilendirme mesajlarını içeren özelliktir.

Genelde router/switch gibi cihazlarda banner’ı 2 amaçla kullanırız:

  • Bağlanılan cihazla ilgili bilgilendirme amaçlı mesaj vermek,
  • Cihaza erişen kullanıcının erişim hakkı olup olmadığını sorgulayarak uyarı vermek.

Temelde 5 farklı banner tipi vardır:

  • banner motd 
  • banner login 
  • banner exec 
  • banner slip-ppp
  • banner incoming

Genel anlamda ben en fazla koyu olarak yazılanları kullanıyorum. Gereksiz bilgiye boğmadan bunları açıklamaya ve örneklemeye çalışacağım.

Banner MOTD(Message of The Day)

Login prompt’undan da önce gösterilir. Genellikle o günle ilgili geçici bir mesajı paylaşmak için kullanılır. Örn: “Bu routerda calisma yapilmaktadir. Lutfen cihazı reboot etmeyin.”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner motd $
Enter TEXT message.  End with the character '$'.
Bu mesaj MOTD mesajidir.
$
R1(config)#

Burada dikkat edilmesi gereken motd yazdıktan sonra bir işaret, parametre belirleyip(ben $ olarak belirledim) mesajı bitirdikten sonra yine bu işareti kullanarak mesajı sonlandırmamız gerekmektedir. Diğer tüm banner’larda da aynı mantık vardır.

Banner Login

Genellikle kalıcı mesajlar için kullanılır. MOTD sonrası gösterilir.
Örn: “Bu router’a yetkisiz erisim yasaktir!”

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner login $
Enter TEXT message.  End with the character '$'.
Bu mesaj LOGIN mesajidir.
$
R1(config)#

 Banner EXEC

Login olduktan sonra gösterilir. Amaç yetkisiz kullanıcıların görmemesi gerekli mesajları user/privilege exec moda geçerken göstermektir.

Yapılandırmak için:

R1#
R1#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
R1(config)#banner exec $
Enter TEXT message.  End with the character '$'.
Bu mesaj EXEC mesajidir.
$
R1(config)#

Şimdi buraya kadar anlatılanları örneklerle inceleyelim.

Alttaki topolojiye göre R2’ye login olmuşken R1’e telnet ile erişelim.

banner1

R2#telnet 1.1.1.1
Trying 1.1.1.1 ... Open

Bu mesaj MOTD mesajidir.

Bu mesaj LOGIN mesajidir.


User Access Verification

Password: 

Görüldüğü üzere önce motd sonra ise login banner’ı görünmüştür. User/Privilege exec moda geçtiğimizde ise

Password: 
Bu mesaj EXEC mesajidir.

R1>en

şeklinde exec banner’ı ile karşılaşıyoruz.

Banner Tokens

Banner’ları banner token’lar ile özelleştirebiliriz. Yani önceden belirleyeceğimiz token’ları kullanarak ilgili router/switch/firewall için spesifik bir kelimeyi yazdırabiliriz.

Banner token listesi alttaki gibidir.

banner2

 

Detaylı bilgi için tıklayınız.

Örnek olarak altta ASA üzerinde yapılandırılmış bir konfiği bulabilirsiniz.

ASA8-4# 
ASA8-4# conf t
ASA8-4(config)# banner motd *
ASA8-4(config)# banner motd wellcome to $(hostname).$(domain)
ASA8-4(config)# banner motd Only authorized users are allowed to connect.
ASA8-4(config)# banner motd *
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end

Buna göre banner’ımız cihazda konfigüre edilmiş olan hostname ve domain name bilgisini kullanacaktır.

Telnet ile bağlanmaya çalıştığımızda karşılaşacağımız ekran alttaki gibidir:

asa_asdm8_nbanner

Cisco ASA ASDM Erişimi

ASDM (Adaptive Security Device Manager) Cisco’nun güvenlik ürünlerini GUI (grafik/görsel arayüz) üzerinden yönetmeye yarayan aracıdır.  Bu yazımızda temel alacağımız cihaz cisco’nun firewall ürünü olan cisco ASA ailesi olacaktır. ASA’ları temelde 2 şekilde yönetiyoruz:

1- CLI (Command Line Interface)
Cihaza telnet/ssh veya üzerindeki console portundan erişerek komut satırı yoluyla.

2-GUI (Graphical User Inteface)
Cihaza ASDM üzerinden bağlanıp görsel arayüzü üzerinden.

İleri düzey kullanıcılar CLI’yı daha fazla tercih ederken, giriş/orta seviye kullanıcılar da ağırlıkla ASDM ile yönetimi daha uygun bulmaktadırlar. Yazımıza ASDM’i nasıl aktif edebileceğimiz ile devam edelim.

Öncelikle yönetmek istediğimiz ASA’ya ip erişimimizin olması gerekiyor. Ben anlatacaklarımı aşağıdaki basit topoloji üzerinden yapacağım.

ASA: 192.168.216.10
PC: 192.168.216.1

asa_asdm0

ASA’ya ip’sini vererek PC’ye olan erişimi kontrol ediyoruz.

ASA

ASA8-4# conf t
ASA8-4(config)# int gigabitEthernet 1
ASA8-4(config-if)# ip address 192.168.216.10 255.255.255.0
ASA8-4(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA8-4(config-if)# no shutd
ASA8-4(config-if)# no shutdown 
ASA8-4(config-if)# 
ASA8-4(config-if)# 
ASA8-4(config-if)# end
ASA8-4# sh int ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0 unassigned YES unset administratively down up 
GigabitEthernet1 192.168.216.10 YES manual up up 
GigabitEthernet2 unassigned YES unset administratively down up 
GigabitEthernet3 unassigned YES unset administratively down up 
ASA8-4# pin
ASA8-4# ping 192.168.216.100
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 192.168.216.100, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms
ASA8-4# 

Yine aynı şekilde PC’de ASA’ya erişebilmeli.

PC

asa_asdm7

Sonra ASDM image dosyasının ASA’nın flash dizinine atılmış olması gerekiyor. Bu işlemi de PC üzerindeki image dosyasının TFTP server ile atarak gerçekleştiriyoruz.

Yazılım olarak 3CDaemon kullanılabilir. ASDM image’ını attığımız dosyayı yazılımda göstermemiz gerekiyor. Benim kullandığım image asdm-649-103.bin , cisco.com üzerinde hesabınız varsa indirebilirsiniz veya internet ‘teki bazı kaynaklardan bulabilirsiniz.

asa_asdm1

ASA üzerindeki şu komutlarla image’ı atabiliriz.

ASA8-4# sh flash: 
--#--  --length--  -----date/time------  path
    5  8192        Apr 15 2015 08:58:18  log
   14  8192        Apr 15 2015 08:58:20  coredumpinfo
  144  196         Apr 15 2015 08:58:20  upgrade_startup_errors_201504150858.log


536567808 bytes total (535527424 bytes free)
ASA8-4# 
ASA8-4(config)# copy tftp: flash:                              

Address or name of remote host [192.168.216.1]? 

Source filename [asdm-621.bin]? asdm-649-103.bin

Destination filename [asdm-649-103.bin]? 

Accessing tftp://192.168.216.1/asdm-649-103.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asdm-649-103.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
19706880 bytes copied in 69.460 secs (285606 bytes/sec)
ASA8-4# dir flash:

Directory of disk0:/

5      drwx  8192         08:58:18 Apr 15 2015  log
14     drwx  8192         08:58:20 Apr 15 2015  coredumpinfo
144    -rwx  196          08:58:20 Apr 15 2015  upgrade_startup_errors_201504150858.log
179    -rwx  11348300     19:46:03 May 04 2015  asdm-649-103.bin
ASA8-4(config)# asdm image  flash:/asdm-649-103.bin

Sonra ASDM  üzerinden cihaza erişmemiz için gerekli komutları yazıyoruz.

ASA8-4# conf t
ASA8-4(config)# 
ASA8-4(config)# domain-name mehmetyeni.com
ASA8-4(config)# http server enable 
ASA8-4(config)# http 192.168.216.0 255.255.255.0 inside 
ASA8-4(config)# 
ASA8-4(config)# username mehmet password mehmet123 privilege 15
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# 
ASA8-4(config)# end
ASA8-4# wr

 

 

Artık firewall’a ASDM üzerinden erişebilir durumdayız.
Browser’da bir sekme açarak https://192.168.216.100 ‘e bağlanmaya çalışıyoruz. Bağlantımızın gizli olmadığı ile ilgili bir hata alacağız. ASA üzerindeki sertifika bizim browser’da bulunmadığından, bunu dikkate almadan atlayabiliriz.

asa_asdm2

 

Açılan sayfada “Install ASDM Launcher and Run ASDM” e tıklıyoruz. Bize ismi dm-launcher olan bir dosya indirmeyi önerecek, bir klasöre bu dosyayı indiriyoruz.

 

asa_asdm3

Sonra indirdiğimiz dosyayı çift tıklayarak çalıştırıyoruz ve next next diyerek default parametrelerle programın kurulumunu tamamlıyoruz. Ardından alttaki gibi bir ekranla karşılacağız.

Burada device IP: cisco ASA ip address

username: oluşturduğumuz kullanıcı adı
password: oluşturduğumuz şifre

Verilerini girdikten sonra OK diyoruz.

 

asa_asdm4

 

Tekrar sertifika ile ilgili uyarı verecek. Yes diyerek ilerliyoruz.

asa_asdm5

 

Son olarak ASDM arayüzü açılıyor ve artık ASA’ya bağlanmış durumdayız. Bundan sonra istediğimiz gibi ASA ‘nın yönetimini gerçekleştirebiliriz.

asa_asdm6