Cisco asa windows 10

Страницы

13 мая 2016 г.

Использование ASDM для управления Cisco ASA

interface management 0/0
nameif management
ip address 192.168.30.100 255.255.255.0
no shutdown

Настроите сохранения по команде wr mem
sh flash:

copy running-config startup-config
copy startup-config flash:

Дождитесь завершения процесса копирования и проверьте наличие файла asdm-751-112.bin во flash:

enable password cisco
username admin password cisco privilege 15
domain-name fw.blackbox.com
crypto key generate rsa general-keys modulus 1024
aaa authentication http console LOCAL
http server enable

http 192.168.30.0 255.255.255.0 management
wr mem

Перезапустите образ ASAv.

Теперь можно подключиться к ASAv по адресу https://192.168.30.100
Будет запрошен логин и пароль.

Обязательно добавьте сертификат в Доверенные корневые центры сертификации.

Установим ASDM Launcher нажав соответствующую кнопку. Можно также просто запустить ASDM нажав Run ASDM.
В случае, если на вашем компьютере не установлены компоненты Java, будет предложено их установить.

После установки запустим ASDM с ярлыка на рабочем столе.
Введем адрес, имя пользователя и пароль.

Пример конфигурации «Cisco Secure Desktop (CSD 3.1.x) на ASA 7.2.x для Windows, используя ASDM»

Параметры загрузки

Содержание

Введение

Cisco Secure Desktop (CSD) расширяет безопасность технологии SSL VPN. CSD обеспечивает самостоятельный раздел для сеансов на рабочей станции пользователя. Эта область хранения данных в ходе сеанса зашифровывается, а по окончании сеанса SSL VPN полностью удаляется. В системе Windows настроить механизмы безопасности CSD можно в полной мере. В системах Macintosh, Linux и Windows CE доступны только средства очистки кэша, обзора WWW и доступа к файлам. CSD можно настроить на устройствах с ОС Windows, Macintosh, Windows CE и Linux со следующими платформами:

Устройство адаптивной защиты Cisco ASA серии 5500.

Маршрутизаторы под управлением выпусков ПО Cisco IOS ® 12.4(6)T и выше.

Концентраторы Cisco VPN серии 3000 версии 4.7 и выше.

Модуль Cisco WebVPN на маршрутизаторах серий Catalyst 6500 и 7600.

Примечание. Выпуск CSD 3.3 позволяет настраивать Cisco Secure Desktop на удаленных компьютерах под управлением Microsoft Windows Vista. Ранее в Cisco Secure Desktop поддерживались только компьютеры с ОС Windows XP или 2000. Дополнительные сведения см. в разделе Новые функциональные улучшения — Secure Desktop в ОС Vista замечаний к выпуску Cisco Secure Desktop 3.3.

В этом примере прежде всего освещены установка и настройка CSD на устройствах серии ASA 5500 для клиентов Windows. Для полноты приведены дополнительные конфигурации для клиентов Windows CE, Mac и Linux.

CSD используется вместе с технологией SSL VPN (бесклиентской сетью SSL VPN, сетью SSL VPN с тонким клиентом или клиентом SSL VPN (SVC)). CSD расширяет практические возможности защищенных сеансов SSL VPN.

Предварительные условия

Требования

Рассматриваемая процедура настройки предполагает выполнение следующих условий:

Требования к устройству ASA.

Выпуск Cisco CSD 3.1 или выше.

ПО Cisco ASA версии 7.1.1 или выше.

Менеджер устройств адаптивной защиты Cisco (ASDM) версии 5.1.1 или выше.

Примечание. Версия CSD 3.2 поддерживается только на устройствах ASA версии 8.x.

Примечание. Чтобы узнать, как разрешить настройку ASA с помощью ASDM, см. раздел Включение HTTPS-доступа для ASDM.

Требования для клиентского компьютера

Рекомендуется наличие у удаленных клиентов прав локального администратора.

Удаленные клиенты должны иметь среду исполнения Java (JRE) версии 1.4 или выше.

Удаленные клиентские браузеры: Internet Explorer 6.0, Netscape 7.1, Mozilla 1.7, Safari 1.2.2 или Firefox 1.0

Cookie-файлы активированы, всплывающие окна разрешены на удаленных клиентах.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

Cisco ASDM версии 5.2(1);

Cisco ASA версии 7.2(1);

Cisco CSD версии securedesktop-asa-3.1.1.32-k9.pkg.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все описываемые в данном документе устройства были запущены со стандартными заводскими настройками. При работе в действующей сети необходимо понимать последствия выполнения любой команды. IP-адреса, используемые в этой конфигурации, представляют собой адреса RFC 1918. Такие IP-адреса недопустимы в Интернете и предназначены только для опытной лабораторной среды.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Общие сведения

CSD работает на базе технологии SSL VPN, поэтому перед настройкой CSD необходимо активировать бесклиентский режим, режим тонкого клиента или SVC.

Схема сети

Возможно настроить различные местоположения Windows со всеми параметрами безопасности CSD. В системах Macintosh, Linux и Windows CE доступны только средства очистки кэша и/или обзора WWW и доступа к файлам.

В настоящем документе используется следующая схема сети:

Настройка CSD на устройстве ASA для клиентов Windows

Настройка CSD на устройстве ASA для клиентов Windows состоит из пяти основных шагов.

install cisco ASDM on windows 10

How can i install Cisco asdm on 7.14 on a windows 10 box

The help desk software for IT. Free.

Track users’ IT needs, easily, and with only the features you need.

3 Replies

Did you upload it to the ASA? You should be able to pull up the ASA’s IP in a browser and get a link. Download the .msi and install it.

Craig (Cisco) ​, I’m not sure if this is a rhetorical question or not. seems fishy coming from you 🙂

That said, here goes:

1. Make sure ASDM image has been uploaded to the ASA you’re needing to connect to.
2. Enable HTTP on the ASA you are wanting to connect to
3. Browse to the ASA’s IP address
4. Download ASDM installer from the Firewall (after authenticating)

Works just fine:

Пример настройки PIX/ASA в качестве удаленного VPN-сервера с расширенной аутентификацией при использовании CLI и ASDM

Параметры загрузки

Содержание

Введение

Данный документ описывает настройку адаптивных устройств обеспечения безопасности (ASA) Cisco серии 5500 для работы в качестве удаленного VPN-сервера с использованием адаптивного менеджера устройств обеспечения безопасности (ASDM) или CLI. Программа ASDM предоставляет возможность качественного управления и контроля за безопасностью с помощью интуитивно понятного и простого в использовании интерфейса управления на базе веб-технологий. По завершении конфигурации ASA Cisco, можно осуществить проверку при использовании VPN-клиента Cisco.

См. Пример настройки аутентификации PIX/ASA 7.x и VPN-клиента 4.x Cisco в Windows 2003 IAS RADIUS (в Active Directory) для настройки удаленного доступа для соединений с VPN между VPN-клиентом Cisco (4.x для Windows) и PIX Security Appliance 7.x серии 500. Пользователь удаленного VPN-клиента проходит проверку подлинности в Active Directory с помощью RADIUS-сервера службы проверки подлинности в Интернете (IAS) в Microsoft Windows 2003.

См. Пример настройки аутентификации PIX/ASA 7.x и VPN-клиента 4.x Cisco для Cisco Secure ACS для настройки удаленного доступа для соединений с VPN между VPN-клиентом Cisco (4.x для Windows) и PIX Security Appliance 7.x серии 500 с использованием сервера управления доступом Cisco Secure (ACS версии 3.2) для расширенной аутентификации (Xauth).

Предварительные условия

Требования

В данном документе предполагается, что ASA полностью функционален и настроен, чтобы разрешать ASDM Cisco или CLI выполнять изменения в конфигурации.

Примечание. Чтобы позволить ASDM или Secure Shell (SSH) удаленно настроить устройство, см. раздел Разрешение доступа HTTPS для ASDM или PIX/ASA 7.x пример конфигурации SSH на внешнем и внутреннем интерфейсе.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

Программное обеспечение адаптивного менеджера устройств обеспечения безопасности Cisco версии 7.x и более поздних

Адаптивный менеджер устройств обеспечения безопасности версии 5.x и более поздних

VPN-клиент Cisco версии 4.x и более поздних

Данные для документа были получены в специально созданных лабораторных условиях. Все устройства, используемые в данном документе, были запущены с чистой (заданной по умолчанию) конфигурацией. Если сеть работает в реальных условиях, убедитесь, что вы понимаете потенциальное воздействие каждой команды.

Соответствующие продукты

Данную конфигурацию также можно использовать с Cisco PIX Security Appliance версии 7.x и более поздних

Условные обозначения

Дополнительную информацию о применяемых в документе обозначениях см. в документе Условные обозначения, используемые в технической документации Cisco.

Базовые сведения

Конфигурация удаленного доступа предоставляет безопасный удаленный доступ для VPN-клиентов Cisco, например, для мобильных пользователей. Удаленный доступ VPN предоставляет удаленным пользователям безопасный доступ к централизованным сетевым ресурсам. VPN-клиент Cisco выполняет протокол IPSec, а также специально разработан для работы с устройством обеспечения безопасности. Однако устройство обеспечения безопасности может устанавливать соединения IPSec со многими клиентами совместимыми с протоколом. Дополнительные сведения о протоколе IPSec, см. Руководство по настройке ASA.

Группы и пользователи являются основными понятиями в управлении безопасностью VPN и в конфигурации устройств обеспечения безопасности. Они указывают атрибуты, которые определяют доступ и использование VPN пользователям. Группа – это собрание пользователей, которое считается как единый объект. Пользователи получают атрибуты от групповой политики. Туннельные группы определяют групповую политику для конкретных соединений. Если пользователям не назначить определенную групповую политику, то для соединений будет применяться групповая политика по умолчанию.

Туннельная группа состоит из набора записей, которые определяют политику туннельного подключения. Данные записи определяют серверы, для которых туннельные пользователи проходят проверку подлинности, а также сервера учетной информации, если такие имеются, на которые отсылаются сведения о подключениях. Они также определяют стандартную групповую политику подключений, и содержат параметры подключений, зависящие от протоколов. Туннельные группы включают небольшое число атрибутов, которые описывают создание самого туннеля. Туннельные группы включают в себя указатель на групповую политику, который определяет атрибуты, ориентированные на пользователя.

Примечание. В примере данного документа, учетные записи локальных пользователей используются для аутентификации. Если необходимо использовать другие службы, например LDAP и RADIUS, см. Настройка внешнего сервера RADIUS для аутентификации и авторизации.

Протокол ассоциаций безопасности и управления ключами в Интернет (ISAKMP), также имеет название IKE, является протоколом согласования, который хранит согласования о построении ассоциации безопасности IPSec. Каждый протокол согласования ISAKMP разделен на два раздела, фаза 1 и фаза 2. Фаза 1 создает первый туннель, который обеспечивает защиту дальнейших сообщений согласования ISAKMP. Фаза 2 создает туннель, который обеспечивает защиту данных, перемещаемых через безопасное соединение. Дополнительные сведения о ISAKMP, см. Ключевые слова политики ISAKMP для команд CLI.

Конфигурации

Настройка ASA/PIX в качестве удаленного VPN-сервера с помощью ASDM

Чтобы настроить ASA Cisco в качестве удаленного VPN-сервера с использованием ASDM, необходимо выполнить следующие действия:

Выберите Wizards > VPN Wizard в окне «Home».

В Remote Access выберите тип VPN-туннеля и убедитесь, что интерфейс туннеля VPN установлен, как требуется.

Единственный доступный тип VPN-клиент уже выбран. Нажмите Next.

Введите имя для туннельной группы. Предоставьте необходимые для использования сведения об аутентификации.

В данном документе выбран Pre-shared Key.

Примечание. На ASDM нет способа скрыть или зашифровать предварительно согласованный ключ. Причина в том, что ASDM должен использоваться только людьми, которые настраивали ASA или теми, кто помогает клиентам с данной конфигурацией.

Выберите, где будет происходить аутентификация удаленных пользователей, либо на локальной базе данных пользователей, либо на внешней группе сервера AAA.

Примечание. Добавление пользователей к локальной базе данных пользователей происходит в шаге 6.

При необходимости добавьте пользователей к локальной базе данных.

Примечание. Не удаляйте существующих пользователей из данного окна. Выберите Configuration > Device Administration > Administration > User Accounts in the main ASDM window, чтобы отредактировать существующие в базе данных записи или удалить их из базы данных.

Определите пул локальных адресов, который будет динамически назначен удаленным VPN-клиентам при подключении.

Необязательно: Укажите сведения серверов DNS и WINS, а также имя домена по умолчанию. Эти сведения будут переданы удаленным VPN-клиентам.

Укажите параметры для IKE, который также известен как IKE фаза1.

Конфигурации на обоих концах туннеля должны совпадать. Однако VPN-клиент Cisco автоматически выбирает подходящую для него конфигурацию. Таким образом, конфигурация IKE на PC-клиенте необязательна.

Укажите параметры для IPSec, который также известен как IKE фаза 2.

Конфигурации на обоих концах туннеля должны совпадать. Однако VPN-клиент Cisco автоматически выбирает подходящую для него конфигурацию. Таким образом, конфигурация IKE на PC-клиенте необязательна.

Укажите, какие из внутренних узлов или сетей (если таковые имеются) должны быть доступны удаленным пользователям VPN.

Если данный список оставить пустым, это позволит удаленным пользователям VPN получить доступ ко всей внутренней сети ASA.

В данном окне можно также включить раздельное туннелирование. Раздельное туннелирование шифрует трафик в указанные раннее ресурсы данной процедуры и предоставляет нешифрованный доступ к Интернет в полной мере без туннелирования этого трафика. Если раздельное туннелирование не включено, весь трафик удаленных VPN-пользователей направлен к ASA. Полоса пропускания и процессор могут работать слишком интенсивно в соответствии с конфигурацией.

Данное окно показывает сводку по совершенным действиям. Если конфигурация в порядке, нажмите Finish.

Настройка ASA/PIX в качестве удаленного VPN-сервера с помощью CLI

Чтобы настроить удаленный VPN-сервер доступа из командной строки, выполните следующие действия. Дополнительные сведения по каждой использованной команды, см. Настройка удаленного доступа VPN или Справочник команд адаптивных устройств обеспечения безопасности Cisco ASA серии 5500.

Введите команду ip local pool в режиме глобальной конфигурации, чтобы настроить пулы IP-адресов, которые будут использоваться VPN-туннелями удаленного доступа. Чтобы удалить пулы адресов, введите данную команду с параметром «no».

Устройство обеспечения безопасности использует пулы адресов, основанные на туннельной группе данного подключения. Если настроить более чем один адресный пул для туннельной группы, устройство обеспечения безопасности будет использовать их в том порядке, в котором они настроены. Подайте данную команду, чтобы создать пул для локальных адресов, который может быть использован для назначения динамических адресов VPN-клиентам удаленного доступа:

Подайте следующую команду:

Подайте следующую команду:

Подайте следующую команду, чтобы обозначить локальную базу данных пользователей для аутентификации.

Подайте данную команду, находясь в режиме общих атрибутов туннельной группы hillvalleyvpn, чтобы назначить vpnpool созданный в шаге 1 для группы hillvalleyvpn.

Подайте следующую команду:

Подайте следующую команду:

Подайте следующую команду:

Подайте следующие команды, чтобы настроить определенный туннель:

ASA-AIP-CLI(config)#isakmp policy 1 authentication pre-share

ASA-AIP-CLI(config)#isakmp policy 1 encryption 3des

ASA-AIP-CLI(config)#isakmp policy 1 hash sha

ASA-AIP-CLI(config)#isakmp policy 1 group 2

ASA-AIP-CLI(config)#isakmp policy 1 lifetime 43200

ASA-AIP-CLI(config)#isakmp enable outside

ASA-AIP-CLI(config)#crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac

ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set transform-set ESP-3DES-SHA

ASA-AIP-CLI(config)#crypto dynamic-map Outside_dyn_map 10 set reverse-route

ASA-AIP-CLI(config)#crypto dynamic-map outside_dyn_map 10 set security-association lifetime seconds 288000

ASA-AIP-CLI(config)#crypto map Outside_map 10 ipsec-isakmp dynamic Outside_dyn_map

ASA-AIP-CLI(config)#crypto map outside_map interface outside

ASA-AIP-CLI(config)#crypto isakmp nat-traversal

Необязательно: Подайте следующую команду, если требуется совершить подключение в обход списка доступа, который применяется к интерфейсу:

Примечание. Данная команда работает на образах версии 7.x до версии 7.2(2). Если используется образ версии 7.2(2), подайте следующую команду ASA-AIP-CLI(config)#sysopt connection permit-vpn.

Подайте следующую команду:

Подайте следующие команды, чтобы настроить клиентское соединение:

ASA-AIP-CLI(config)#group-policy hillvalleyvpn attributes

ASA-AIP-CLI(config)#(config-group-policy)#dns-server value 172.16.1.11

ASA-AIP-CLI(config)#(config-group-policy)#default-domain value test.com

Запуск конфигурации на устройстве ASA

Конфигурация хранения паролей VPN-клиента Cisco

Если VPN-клиентов Cisco несколько, становится трудно запомнить все имена пользователя и пароли VPN-клиента. Чтобы хранить пароли VPN-клиента на компьютере, настройте ASA/PIX и VPN-клиент, как описано в данном разделе.

В режиме глобальной конфигурации используйте команду group-policy attributes:

Отредактируйте файл .pcf file и измените эти параметры:

Отключение расширенной аутентификации

В режиме туннельной группы, введите эту команду, чтобы отключить расширенную аутентификацию, включенную по умолчанию, на PIX/ASA 7.x:

После отключения расширенной аутентификации, VPN-клиенты не отображают всплывающее окно с именем пользователя и паролем для аутентификации (Xauth). Таким образом, ASA/PIX не требуется конфигурация имени пользователя и пароля для аутентификации VPN-клиентов.

Проверка

Попытайтесь подключиться к ASA Cisco с использованием VPN-клиента Cisco, чтобы проверить правильность настройки ASA.

Выберите Connection Entries > New.

Введите сведения о новом подключении.

Поле «Host» должно содержать IP-адрес или имя узла изначально настроенного ASA Cisco. Сведения об аутентификации группы должны соответствовать тем, которые были использованы в шаге 4. По окончании нажмите Save.

Выберите созданное только что новое подключение и нажмите Connect.

Введите имя пользователя и пароль для расширенной аутентификации. Данные сведения должны соответствовать тем, которые были указаны в шаге 5 и 6.

После успешного установления подключения выберите Statistics в меню Status, чтобы проверить сведения о туннели.

Данное окно отображает зашифрованные сведения и сведения о трафике:

Данное окно отображает сведения о раздельном туннелировании:

Устранение неполадок

Данный раздел предназначен для устранения неполадок конфигурации.

Неверное шифрование ACL

ASDM 5.0(2) создает и применяет зашифрованный список управления доступом (ACL), который может вызвать проблемы на VPN-клиентах, использующих раздельное туннелирование, а также на аппаратной части клиентского оборудования в режиме расширения сети. Используйте ASDM версии 5.0(4.3) или более поздних, чтобы избежать этих проблем. Пользователи могут получить дополнительную информацию, ознакомившись со сведениями об ошибке CSCsc10806 ( только для зарегистрированных пользователей ).