Sécurité : Dispositifs de sécurité adaptatifs dédiés de la gamme Cisco ASA 5500

ASA : Connecter un modem US Robotics au port pour console

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Contenu


Introduction

Ce document explique comment relier un modem d'US Robotics au port de console d'une appliance de sécurité adaptable Cisco (ASA) qui a des ports de console de RJ-45. Cette procédure peut aussi être utilisée pour d'autres marques de modems, toutefois vous devez consulter la documentation de votre modem pour obtenir la chaîne d'initialisation équivalente.

Remarque: Vous ne pouvez pas relier un modem au port auxiliaire de l'ASA comme vous pourriez sur des Routeurs ou des Commutateurs. Le port auxiliaire est destiné pour des périphériques tels que des serveurs de terminaux.

Remarque: Des Modems non protégés ne devraient pas être connectés au port de console. Les ports de console ne se connectent pas des utilisateurs outre de quand la Détection Onde Porteuse est perdue, qui peut laisser une faille de sécurité. Afin d'éviter ceci, utilisez une configuration sécurisée de délai d'attente de modem ou de console dans l'ASA qui ferme une session l'utilisateur après le délai prévu spécifié dans la commande de délai d'attente. Pour plus d'informations sur les avantages et les inconvénients de connecter un modem au port de console, voyez la section de problèmes de port de console de ce document.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur la gamme Cisco 5500 ASA avec la version de logiciel 7.0 et plus tard.

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Tâches effectuées

  • Configurez le modem pour la connectivité de la console. Puisque le le port de console manque de la capacité inverse de telnet, la chaîne d'initialisation de modem (chaîne d'initialisation) doit être placée avant que vous connectiez le modem au port de console de l'ASA.

  • Connectez le modem au port de console de l'ASA.

  • Configurez l'ASA pour recevoir des appels entrant.

Ces tâches sont expliquées dans la section de procédure pas à pas de ce document.

Procédure pas à pas

Terminez-vous ces étapes afin de relier un modem d'US Robotics au port de console de Cisco ASA :

  1. Connectez le modem au PC. Cette étape est nécessaire afin d'accéder au modem pour placer la chaîne d'initialisation.

    Attachez un adaptateur RJ-45 à DB-9 sur lequel « Terminal » est marqué au port COM du PC. De l'extrémité de RJ-45 de l'adaptateur, connectez un câble RJ-45--RJ-45 roulé parsatin (numéro de pièce CAB-500RJ=), qui est donné en chaque Cisco ASA pour des connexions de console. Vous avez besoin également d'un « MODEM » RJ-45-to-DB-25 marqué par adaptateur (numéro de pièce CAB-25AS-MMOD) afin de connecter le câble enroulé au port DB-25 sur le modem.

    asa-us-robo-modem-1.gif

  2. Sur le modem, arrêtez le modem, placez l'interrupteur à positions multiples sept à vers le bas, et activez le modem afin de restaurer les par défaut d'usine. Après ceci, arrêtez le modem de nouveau. Voyez la section Divers de ce document pour des informations sur des configurations d'interrupteur à positions multiples.

  3. Reverse Telnet du PC au modem.

    Utilisez un programme d'émulation de terminal sur le PC, tel que le HyperTerminal, et accédez au modem PC par le port COM vous connecté à dans l'étape 1. Une fois que vous vous connectez au modem PC par le port COM, vous devez appliquer la chaîne d'initialisation (voir l'étape 4). Pour un exemple, référez-vous à la section de session de HyperTerminal d'exemple de configurer des modems client pour fonctionner avec des serveurs d'accès Cisco.

  4. Tapez cette chaîne d'initialisation qui écrit les configurations désirées de chaîne d'initialisation à NVRAM :

    AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
    

    Remarque: Les 0s dans cette chaîne sont des zéros. Voyez la section Divers de ce document pour des informations sur des chaînes d'initialisation.

    Remarque: Vous devriez recevoir une réponse CORRECTE du modem. Si le modem ne répond pas, vérifiez que le matériel et le câblage de modem fonctionnent correctement.

  5. Écrivez cette chaîne d'initialisation afin de désactiver des codes d'écho et de résultat :

    ATE0Q1&W
    
  6. Interrupteurs à positions multiples 4 et 8 de modification pour avaler et garder le repos en tant que. Puis arrêt et redémarrage le modem.

  7. Débranchez le câble roulé de RJ-45 de l'adaptateur RJ-45-to-DB-9 du PC et reliez-le au port de console de l'ASA.

    asa-us-robo-modem-2.gif

    Remarque: Un câble satiné plat RJ-45-to-RJ-45 roulé avec les adaptateurs RJ-45-to-DB-25 (numéro de pièce CAB-25AS-MMOD) sur les deux extrémités ne peut pas être dû utilisé aux paires de signalisation incorrecte.

  8. Mettez le modem en marche.

  9. Pour des raisons de sécurité, vous devez configurer le délai d'attente de console aussi bien qu'activer le mot de passe dans l'ASA.

    
    !--- Configure console idle timeout for 10 minutes.
    
    ASA5510(config)#console timeout 10
    

    Si l'ASA n'a pas un mot de passe d'enable, les connexions entrantes ne peuvent pas écrire le mode enable.

    
    !--- In order to allow incoming calls to enter enable mode:
    
    ASA5510(config)#enable password asa123
    
  10. Utilisez un téléphone analogique pour vérifier que la ligne téléphonique est en activité et fonctionne. Connectez alors la ligne de téléphone analogique au modem.

  11. Testez la connexion modem en initiant un appel par modem d'EXÉCUTIF à l'ASA d'un autre périphérique (par exemple, un PC).

    Utilisez un programme d'émulation de terminal sur le PC, tel que le HyperTerminal, et accédez au modem PC par un des ports COM. Une fois que vous vous êtes connecté au modem PC par le port COM, initiez le cadran à l'ASA. Pour un exemple, référez-vous à la section de session de HyperTerminal d'exemple de configurer des modems client pour fonctionner avec des serveurs d'accès Cisco.

    Remarque: La ligne de port de console n'exécute pas le Protocole point à point (PPP). Par conséquent, vous ne pouvez pas composer utilisant Microsoft Windows Dialup Networking (DUN) pour cette connexion.

  12. Une fois que la connexion est établie, appuyez sur le <Return > afin d'obtenir la demande sur l'ASA.

Problèmes de port de console

Il y a plusieurs avantages à connecter un modem au port de console d'une ASA. Cependant, les inconvénients sont significatifs.

Avantages quand vous connectez un modem sur le port de console

  • Vous pouvez récupérer des mots de passe à distance. Vous pourriez encore avoir besoin de quelqu'un sur place avec l'ASA pour basculer l'alimentation. Hormis cela, il est identique à être là à l'ASA.

  • C'est un moyen pratique de relier un modem à une ASA sans ports asynchrones. C'est salutaire si vous devez accéder à l'ASA pour la configuration ou la Gestion.

Inconvénients quand vous connectez un modem sur le port de console

  • Le port de console ne prend pas en charge le contrôle de modem RS232 (Data Set Ready/Data Carrier Detect (DSR/DCD), Data Terminal Ready (DTR)). Par conséquent, quand la session EXEC se termine (déconnexion), la connexion au modem n'est pas automatiquement supprimée. L'utilisateur doit déconnecter manuellement la session.

  • Plus sérieusement, si la connexion au modem est supprimée, la session EXEC ne se réinitialise pas automatiquement. Ceci peut présenter une faille de sécurité, parce qu'un appel ultérieur dans ce modem permet d'accéder à la console sans entrer de mot de passe. Vous pouvez rendre le trou plus petit quand vous placez un exec-timeout serré sur l'ASA. Cependant, si la sécurité est importante, utilisez un modem qui peut fournir une invite de mot de passe.

  • À la différence d'autres lignes asynchrones, le port de console ne prend pas en charge le contrôle de flux matériel (Clear to Send/Ready to Send (CTS/RTS). Cisco recommande de ne pas utiliser de contrôle de flux. Si des dépassements de données sont produits, cependant, vous pouvez activer le contrôle de flux logiciel (XON/XOFF).

  • Il manque au port de console la capacité Telnet inverse. Si le modem perd sa chaîne d'initialisation enregistrée, la seule solution est de démonter physiquement le modem de l'ASA et de le relier à un autre périphérique (tel qu'un PC) pour réinitialiser.

  • Vous ne pouvez pas utiliser un port de console pour le routage à établissement de connexion à la demande car il n'a aucune interface asynchrone correspondante.

Divers

Interrupteurs à positions multiples

Cette table contient une liste des fonctions des interrupteurs à positions multiples sur un modem d'US Robotics :

SUR = vers le bas, OUTRE DE =

Interrupteur à positions multiples Description
1 Dépassement DTR
2 Codes verbaux/numériques de résultat
3 Affichage de code de résultat
4 Suppression d'écho local de mode de commande
5 Suppression de réponse automatique
6 Dépassement de CD
7 Mettez sous tension et des par défaut de logiciel de remise ATZ
8 Reconnaissance réglée de commande AT

Chaîne d'initialisation

La chaîne d'initialisation écrite pour cette configuration a ces caractéristiques :

AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
Commande AT Description
&F0 Placez à Factory Defaults (l'aucun contrôle de flux)
S0=1 Réponse automatique sur la première sonnerie
&C1 Utilise l'état réel du transporteur du modem distant pour le support d'informations détectent le (recommandé)
&D2 Le DTR allant hors fonction déclenche le débranchement de modem, envoie le code CORRECT de résultat, et désactive la réponse automatique tandis que le DTR est éteint. (par défaut)
&R1 En mode synchrone, CTS est toujours en fonction, et le RTS est ignoré
&M4 Mode ARQ/Normal
&K0 Compression de données de débronchement
&N6 La vitesse de liaison la plus élevée (débit DCI) est de 9600 bps
&W Enregistrez la configuration à NVRAM
&Q1 Sélectionne synchrone connectent le mode au mode de commande autonome async

Broches de câble pour le RJ-45 à DB-9 ou à DB-25

asa-us-robo-modem-3.gif

Broches du câble (Console) RJ-45 enroulé

asa-us-robo-modem-4.gif

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 72313