martes, 26 de junio de 2012

Cisco Adaptive Security Device Manager (ASDM)

http://librosnetworking.blogspot.com/2012/06/cisco-adaptive-security-device-manager.html

ASDM es una herramienta de configuración diseñada para colaborar en la configuración y monitoreo de dispositivos ASA sin necesidad de tener conocimientos amplios de la CLI.
  • Puede trabajar sobre una variedad de plataformas. Está implementado en Java.
  • Opera con SSL para asegurar la comunicación.
  • Una única instancia de ASDM puede administrar múltiples ASA simultáneamente y permite acceder al mismo ASDM desde múltiples terminales diferentes (hasta 5 por contexto y 32 por appliance).
  • Soporta la mayoría de los comando de la CLI. Los comandos no soportados por ASDM se conservan en la configuración activa. Estos comandos no soportados y presentes en la configuración se pueden revisar utilizando la opción “Show Commands Ignored” en el menú de herramientas.
  • Si la configuración activa incluye comandos alias, ASDM opera en mono monitor-only.
Sistemas operativos soportados por ASDM:
  • Microsoft Windows.
  • Apple MAC OS X
  • Linux.
Navegadores de Internet soportados:
  • Internet Explorer.
  • Firefox.
  • Safari.
Los appliances son despachados de fábrica con una configuración que tiene por objetivo facilitar una rápida implementación. Esta configuración incluye una interfaz de management con la cual es posible conectarse al dispositivo utilizando ASDM.
  • Tiene habilitado el servicio HTTPS (aunque nominalmente se muestra como HTTP, los appliances ASA sólo soportan HTTPS).
  • Se debe conectar la terminal a la interfaz Management 0/0.
  • La dirección IP por defecto es 192.168.1.1
De no contar con la configuración de fábrica, se debe ingresar por CLI para configurar algunos parámetros mínimos:
  • Configurar fecha y hora.
  • Definir nombre del dispositivo y nombre de dominio.
  • Definir una clave de acceso al modo privilegiado.
  • Definir como inside la interfaz a la que se conectará la terminal de management y asignarle una dirección IP y máscara de subred.
  • Habilitar el servicio HTTPS.
  • Si bien el comando especifica el servicio HTTP, los appliances ASA no soportan HTTP sino solamente HTTPS.
  • Especificar la dirección IP de la terminal desde la que se ejecutará ASDM.
  • Opcionalmente especificar la imagen de ASDM que desea utilizar.
En un ejemplo:
ciscoasa#clock set 13:45:00 june 25 2012
ciscoasa#configure terminal
ciscoasa(config)#hostname ASA
ASA(config)#domain-name cisco.com
ASA(config)#enable password cisco 
ASA(config)#interface GigabitEthernet 0/1
ASA(config-if)#nameif inside
ASA(config-if)#ip address 172.16.1.1 255.255.255.0
ASA(config-if)#no shutdown
ASA(config-if)#exit
ASA(config)#http server enable
ASA(config)#http 172.16.1.11 255.255.255.255 inside
ASA(config)#setup
Si hay más de una imagen de ASDM guardada en la memoria flash, será necesario indicar cuál de esas imágenes se desea utilizar:
ciscoasa#configure terminal
ciscoasa(config)#asdm image disk0:/asdm-625.bin


Enlaces de referencia:

domingo, 3 de junio de 2012

Las licencias de prueba de IOS 15

Por Oscar Gerometta

Tomado de: http://librosnetworking.blogspot.com/2012/05/las-licencias-de-prueba-de-ios-15.html

Con el lanzamiento de IOS 15 Cisco introdujo una nueva modalidad de distribución de su sistema operativo que es el denominado "universal image", con lo que abandonó el uso del sistema de "packages" que había puesto en funcionamiento en el año 2006 con IOS 12.3 (ver el post "Los nuevos Cisco IOS packages".
 
Es esta nueva modalidad, para una misma versión de IOS y una misma plataforma de hardware hay una única imagen del sistema operativo que contiene todos los features disponibles. Ahora bien, el acceso a todos esos features está limitado por un sistema de licencias que considera 4 modalidades básicas:

  • IP Base
    Es la licencia por defecto que Cisco entrega con todos los dispositivos.
  • Security
    Firewall IOS, IPS, IPSec, 3DES, VPN.
  • Unified Communications
    VoIP, telefonía IP.
  • Data
    MPLS, ATM, soporte multi-protocolo.


Con este nuevo sistema una de las cuestiones que se presenta es... tengo un router Cisco 2900 con una licencia IP Base y deseo probar el firewall de IOS para analizar la conveniencia de implementar el firewall de IOS o comprar en un appliance aparte ¿necesito comprar una licencia de Security?.
 
La respuesta es no.
 
En primer lugar, hay que tener claro que la imagen de IOS 15 es una única imagen universal que solo está limitada por licencia. En consecuencia, no es necesario descargar una nueva imagen de sistema operativo sino activar los features correspondientes actualizando la clave de actualización que habilita la licencia correspondiente.
 
En segundo lugar, Cisco provee licencias de evaluación por un período de 60 días que permiten activar los features en cuestión. Estas licencias permiten acceder a las funciones deseadas con solamente una limitación de tiempo y se pueden aplicar por única vez para cada uno de los 3 paquetes de funciones avanzadas.
 
¿Cómo se accede a las licencias de evaluación?
El procedimiento es relativamente simple:

  1. Se requiere contar con una clave CCO activa para poder generar licencias de evaluación.
  2. Ingrese a  https://tools.cisco.com/SWIFT/LicensingUI/demoPage
  3. Seleccione el producto para el cual desea generar la licencia de evaluación.
  4. A continuación se le requerirá que indique el tipo de licencia que desea (data, security, UC), el ID de producto y número de serie para el dispositivo que se solicita la licencia.
    Tenga presente que se puede generar únicamente una licencia de cada tipo para cada dispositivo y que esa licencia tiene una validez de 60 días a partir de la fecha de su activación.