Cisco ASA für den Zugriff mit SSH konfigurieren

Will man die ASA per SSH administrieren, muss man erst an ein paar Schräubchen drehen:
Wie auf einem Router ein Key Pärchen erzeugen und braucht natürlich auch einen User und SSH muß diesen User zum authentifizieren benutzen:

Auf der CLI einen user anlegen:

username admin password MeinTollesPasswort privilege 15

Authentifizierung local erfolgen lassen

aaa authentication http console LOCAL
aaa authentication ssh console LOCAL

RSA Schlüssel erzeugen:

crypto key generate rsa

management Access freigeben Hier erlaube ssh von 192.168.1.0/24 auf dem Management Interface:

ssh 192.168.1.0 255.255.255.0 management

ASDM
Im ASDM ist es etwas versteckter und umständlicher.

User anlegen:
Configuration > Device Management > Users/AAA > User Accounts --> Add
Usernamen, Passwort, Privilege Level eintragen

Authentifizierung mit lokalen Usern für ASDM und SSH
Configuration > Device Management > Users/AAA > AAA Access > Authentication
–> HTTP/ASDM und SSH ankreuzen

RSA Schlüssel anlegen:
Configuration > Device Management > Certificate Management > Identity Certificates
–> Add –> Add New Identity Certificate und dann neben „Key Pair“ auf New klicken.

ManagementAccess freigeben:
Configuration > Device Management > Management Access > ASDM/HTTPS/Telnet/SSH
Hier mit Add für SSH und HTTPS/ASDM die entsprechenden Einträge machen

Dann sollte es auch mit dem adminsitrieren klappen.

Cisco ASA Factory reset & firmware per tftp

Eigentlich sollte die ASA bei auslieferung in einem default Zustand sein, so das man z.B. über einen dhcp auf dem Management port eine Verbindung bekommen sollte – sagt Cisco.
So scheint es zumindest bei den hier geliferten 5550 nicht zu sein. aber man kann diesen Zustand durcht ein
conf t
configure factory-default

schnell wieder herstellen.

mittels
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.12]? 192.168.1.2
Source filename [asdm-621.bin]?
Destination filename [asdm-621.bin]?
Accessing tftp://192.168.1.2/asdm-621.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

bzw.
ciscoasa(config)# copy tftp flash
Address or name of remote host [192.168.1.2]?
Source filename [asdm-621.bin]? asa821-k8.bin
Destination filename [asa821-k8.bin]?
Accessing tftp://192.168.1.2/asa821-k8.bin...!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

kann man über einen geeigneten tftp schnell eine aktuelle Firmware einspielen

Cisco ASA – ASDM error: Unconnected sockets not implemented

Ähnlich wie dem anderen asdm Problem gibt es noch andere schöne Fehler die beim starten des ASDMs auftreten können. In diesem Fall ASA 8.04 und ASDM 6.13, welche auf einer ASA 5550 vorinstalliert waren.
Laut diesem Blog kann man das Problem mit einer älteren Java Version oder einem neueren ASDM lösen ich habe letzteres gemacht und per tftp die asa-821 und asdm-621 installiert.

Und: die ASA 5550 kopiert deutlich fixer als z.B. eine 5520 😉 16 MB in gefühlten 5 Sekunden.. endlich mal Geschwindigkeit bei Cisco.

Cisco ASA Firmware Update im Active/Standby Failover Cluster

Firmware auf beide ASAs kopieren, ggf passendes asdm auf die ASA bringen.

Diese beim nächsten Start benutzen
boot system disk0:/asa804-k8.bin
asdm image disk0:/asdm-61551.bin

Abspeichern nicht vergessen !!!:
wr mem

ACHTUNG: die firmwares werden nicht auf die standby Unit gesynct, die Konfiguration schon.. daher müssen die Firmwares auf beide ASAs kopiert werden. einfach geht das per ASDM einmal auf die aktiv einmal auf die passive IP und dann hochladen per Browser alternativ tftp o.ä.

wir vergewissern uns das wir auf der activen ASA sind:

ASA# sh failov state
State Last Failure Reason Date/Time
This host - Primary
Active None
Other host - Secondary
Standby Ready None
====Configuration State===
Sync Done - STANDBY
====Communication State===
Mac set

This host Primary Active.. gut!

Wir starten die stanby unit neu:
failover reload-standby
warten bis die Replikation der Konfig abgeschlossen ist (mit sh failover state vergewissern das die andere standby ready ist) und geben die Active Rolle im Cluster an die neugebootete Kiste ab:
no failover active

Dann starten wir die, jetzt im Standby laufende, Maschine (noch alte Firmware) neu indem wir uns wieder auf die aktive ASA verbinden und dann wieder
failover reload-standby
eingeben.

Generell ist es aber egal welche Maschine gerade aktiv ist, daher braucht man danach nicht wieder zurückzuschwenken (außer man will das immer die aktive ASA in Rack X steht)