ASDM (Adaptive Security Device Manager) Cisco’nun güvenlik ürünlerini GUI (grafik/görsel arayüz) üzerinden yönetmeye yarayan aracıdır. Bu yazımızda temel alacağımız cihaz cisco’nun firewall ürünü olan cisco ASA ailesi olacaktır. ASA’ları temelde 2 şekilde yönetiyoruz:
1- CLI (Command Line Interface)
Cihaza telnet/ssh veya üzerindeki console portundan erişerek komut satırı yoluyla.
2-GUI (Graphical User Inteface)
Cihaza ASDM üzerinden bağlanıp görsel arayüzü üzerinden.
İleri düzey kullanıcılar CLI’yı daha fazla tercih ederken, giriş/orta seviye kullanıcılar da ağırlıkla ASDM ile yönetimi daha uygun bulmaktadırlar. Yazımıza ASDM’i nasıl aktif edebileceğimiz ile devam edelim.
Öncelikle yönetmek istediğimiz ASA’ya ip erişimimizin olması gerekiyor. Ben anlatacaklarımı aşağıdaki basit topoloji üzerinden yapacağım.
ASA: 192.168.216.10
PC: 192.168.216.1
ASA’ya ip’sini vererek PC’ye olan erişimi kontrol ediyoruz.
ASA
ASA8-4# conf t ASA8-4(config)# int gigabitEthernet 1 ASA8-4(config-if)# ip address 192.168.216.10 255.255.255.0 ASA8-4(config-if)# nameif inside INFO: Security level for "inside" set to 100 by default. ASA8-4(config-if)# no shutd ASA8-4(config-if)# no shutdown ASA8-4(config-if)# ASA8-4(config-if)# ASA8-4(config-if)# end ASA8-4# sh int ip brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0 unassigned YES unset administratively down up GigabitEthernet1 192.168.216.10 YES manual up up GigabitEthernet2 unassigned YES unset administratively down up GigabitEthernet3 unassigned YES unset administratively down up ASA8-4# pin ASA8-4# ping 192.168.216.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 192.168.216.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ASA8-4#
Yine aynı şekilde PC’de ASA’ya erişebilmeli.
PC
Sonra ASDM image dosyasının ASA’nın flash dizinine atılmış olması gerekiyor. Bu işlemi de PC üzerindeki image dosyasının TFTP server ile atarak gerçekleştiriyoruz.
Yazılım olarak 3CDaemon kullanılabilir. ASDM image’ını attığımız dosyayı yazılımda göstermemiz gerekiyor. Benim kullandığım image asdm-649-103.bin , cisco.com üzerinde hesabınız varsa indirebilirsiniz veya internet ‘teki bazı kaynaklardan bulabilirsiniz.
ASA üzerindeki şu komutlarla image’ı atabiliriz.
ASA8-4# sh flash: --#-- --length-- -----date/time------ path 5 8192 Apr 15 2015 08:58:18 log 14 8192 Apr 15 2015 08:58:20 coredumpinfo 144 196 Apr 15 2015 08:58:20 upgrade_startup_errors_201504150858.log 536567808 bytes total (535527424 bytes free) ASA8-4# ASA8-4(config)# copy tftp: flash: Address or name of remote host [192.168.216.1]? Source filename [asdm-621.bin]? asdm-649-103.bin Destination filename [asdm-649-103.bin]? [Çıktı kısaltılmıştır] Accessing tftp://192.168.216.1/asdm-649-103.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asdm-649-103.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 19706880 bytes copied in 69.460 secs (285606 bytes/sec) ASA8-4# dir flash: Directory of disk0:/ 5 drwx 8192 08:58:18 Apr 15 2015 log 14 drwx 8192 08:58:20 Apr 15 2015 coredumpinfo 144 -rwx 196 08:58:20 Apr 15 2015 upgrade_startup_errors_201504150858.log 179 -rwx 11348300 19:46:03 May 04 2015 asdm-649-103.bin ASA8-4(config)# asdm image flash:/asdm-649-103.bin
Sonra ASDM üzerinden cihaza erişmemiz için gerekli komutları yazıyoruz.
ASA8-4# conf t ASA8-4(config)# ASA8-4(config)# domain-name mehmetyeni.com ASA8-4(config)# http server enable ASA8-4(config)# http 192.168.216.0 255.255.255.0 inside ASA8-4(config)# ASA8-4(config)# username mehmet password mehmet123 privilege 15 ASA8-4(config)# ASA8-4(config)# ASA8-4(config)# ASA8-4(config)# end ASA8-4# wr
Artık firewall’a ASDM üzerinden erişebilir durumdayız.
Browser’da bir sekme açarak https://192.168.216.100 ‘e bağlanmaya çalışıyoruz. Bağlantımızın gizli olmadığı ile ilgili bir hata alacağız. ASA üzerindeki sertifika bizim browser’da bulunmadığından, bunu dikkate almadan atlayabiliriz.
Açılan sayfada “Install ASDM Launcher and Run ASDM” e tıklıyoruz. Bize ismi dm-launcher olan bir dosya indirmeyi önerecek, bir klasöre bu dosyayı indiriyoruz.
Sonra indirdiğimiz dosyayı çift tıklayarak çalıştırıyoruz ve next next diyerek default parametrelerle programın kurulumunu tamamlıyoruz. Ardından alttaki gibi bir ekranla karşılacağız.
Burada device IP: cisco ASA ip address
username: oluşturduğumuz kullanıcı adı
password: oluşturduğumuz şifre
Verilerini girdikten sonra OK diyoruz.
Tekrar sertifika ile ilgili uyarı verecek. Yes diyerek ilerliyoruz.
Son olarak ASDM arayüzü açılıyor ve artık ASA’ya bağlanmış durumdayız. Bundan sonra istediğimiz gibi ASA ‘nın yönetimini gerçekleştirebiliriz.