Por default la administración por SSH, telnet o https está deshabilitada.
En primer lugar debemos tener configurada la interfaz management del equipo, algo similar a:
ASA-JMCristobal# sh run interface Management0/0
!
interface Management0/0
management-only
nameif management
security-level 100
ip address 10.1.1.10 255.255.255.0
Habilitar SSH
Paso 1 – Configurar las llaves RSA
ASA-JMCristobal(config)# crypto key generate rsa modulus 1024
Keypair generation process begin. Please wait…
Paso 2 – Configurar por lo menos un usuario local
ASA-JMCristobal(config)# username MyUser password MyPass privilege 15
Paso 3 – Definir que la autenticación utilice la base de datos local del ASA en sesiones SSH
ASA-JMCristobal(config)# aaa authentication ssh console LOCAL
Paso 4 – Habilitamos SSH y permitimos las conexiones sólo para la interfaz management desde cualquier dirección IP:
ASA-JMCristobal(config)# ssh 0.0.0.0 0.0.0.0 management
Se puede definir sólo algunos segmentos de red o hosts particulares que tengan acceso por SSH, cada segmento de red o host debe definirse en una línea diferente. En la línea anterior management hace referencia al nombre de la interfaz y no al tipo/número de la interfaz.
Habilitar administración por ASDM
ASDM es el gestor GUI del ASA.
Paso 1 - Validar que existe una versión de ASDM en el ASA
ASA-JMCristobal(config)# dir
Directory of disk0:/
805673907 -rw- 33696476 16:31:35 Nov 17 2020 asdm.bin
1 file(s) total size: 33696476 bytes
21475885056 bytes total (21285044224 bytes free/99% free)
Si el archivo no existe es necesario subir una versión compatible con el equipo vía FTP, SCP u otro protocolo.
Paso 2 – Configurar por lo menos un usuario local
ASA-JMCristobal(config)# username MyUser password MyPass privilege 15
Paso 3 – Definir que la autenticación utilice la base de datos local del ASA en sesiones SSH
ASA-JMCristobal(config)# aaa authentication http console LOCAL
Paso 4 - Habilitar http server
ASA-JMCristobal(config)# http server enable
Paso 5 – Permitir conexiones http sólo para la interfaz management desde cualquier dirección IP
ASA-JMCristobal(config)# http 0.0.0.0 0.0.0.0 management
Puede definir sólo algunos segmentos de red o hosts particulares que tengan acceso con el ASDM, cada segmento de red o host debe ser definido en una línea diferente. En la línea anterior management se refiere al nombre de la interfaz y no al tipo/número de interfaz.
Ahora sólo queda entrar a través de un navegador web a la dirección IP del ASA para descargar el ASDM, instalarlo y finalmente conectarse a través de esta aplicación.
