Introducción al SDM de Cisco

El SDM (Security Device Manager) de Cisco es una herramienta web que permite, sin tener conocimientos de la CLI, poder configurar de forma gráfica o a tráves de asistentes los servicios del router.

1. Descripción del SDM.

El SMD es una herramienta web intuitiva que facilita la gestión de los servicios de los routers Cisco. Contiene asistentes, puede recomendar configuraciones de seguridad óptimas, puede ayudar a encontrar problemas de funcionamiento o realizar auditorías en el router. El SDM ayuda al novato y mejora la productividad del experto. SDM sólo puede gestionar un dispositivo a la vez, no penaliza el consumo de RAM o CPU del router gestionado, puede coexistir con otras herramientas de gestión y CLI.

2. Preparar el SDM o el SDM Express.

Cisco SDM está instalado de serie en algunos modelos de routers. Si no está instalado de serie puede venir en un CD o es posible descargarlo desde cisco.com.

Si el router no tiene instalado SDM de serie tenemos que preparlo para que SDM pueda acceder desde un PC correctamente:

Router(config)#username toni privilege 15 secret cisco
Router(config)#ip http authentication local
Router(config)#ip http secure-server
Router(config)#line console 0
Router(config-line)#login local
Router(config)#line vty 0 15
Router(config-line)#privilege level 15
Router(config-line)#transport input telnet ssh
Router(config)#hostname Barcelona
Barcelona(config)#ip domain name seclab.net
Barcelona(config)#crypto key generate rsa general-keys
Choose the size of the key modulus in the range of 360 to 2048 for your
General Purpose Keys. Choosing a key modulus greater than 512 may take
a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]

En el caso de querer ejecutar el SDM desde el router los ficheros necesarios son:

Router#show flash:

System flash directory:
File  Length   Name/status
1   9283820  c2600-ipbase-mz.123-6f.bin
2   1007616  common.tar
3   812544   es.tar
4   1038     home.shtml
5   113152   home.tar
6   1652     sdmconfig-26xx.cfg
7   4049920  sdm.tar

Los ficheros 2-7 son necesarios para SDM y los fichero 1 y 6 variarán en función de la IOS utilizada y del fichero de configuración para el modelo de router configurado.

3. Ejecutar el SDM Express.

SDM Express es un asistente inicial que permite configurar el router.
Si tenemos un router que tiene SDM instalado de fábrica y en el navegador escribimos http://10.10.10.1 accederemos a SDM Express. Si tenemos un router que no lo tiene instalado de fábrica podemos copiar los archivos necesarios en la flash de router, copiar el fichero sdmconfig-xxxx.cfg en la configuración activa y acceder escribiendo http://10.10.10.1 en el navegador. Si SDM detecta que algunos parámetros no estan configurados ejecutará el SDM Express.
El SDM Express permite configurar:

• Nombre del equipo y dominio.
• Un usuario y su contraseña.
• La contraseña enable secret.
• Las interfaces LAN del router.
• El router como un servidor DHCP.
• Las direcciones IP de los DNS.
• Las interfaces WAN.
• Algunos servicios para que sean deshabilitados.
• El servidor NTP con el que nos sincronizaremos.
  

Después de configurar el router con SDM Express, no volveremos a utilizarlo ya que las siguientes veces accedermos directamente al SDM.

4. Ejecutar el SDM.

Ya hemos visto que podemos ejecutar el SDM desde el router pero también podemos instalándolo en un PC. Para ello, después de la instalación, podemos ejecutarlo desde el acceso directo del escritorio 'Cisco SDM' indicando la dirección IP del router que queremos gestionar.

5. Navegar a través de la GUI del SDM.

La navegación en el SDM se realiza desde la barra de herramientas. En esta barra encontramos dos modos: el de configuración y el de monitorización. Al seleccionar uno de los modos aparece una panel a la derecha con todos los asistentes que proporciona el modo. No obstante, los más expertos también pueden realizar todas las configuraciones sin utilizar los asistentes.
El botón de refrescar permite sincronizar la configuración activa del router con el SDM. El botón de salvar permite guardar la configuración activa en la NVRAM.
Una de las mejores opciones consiste en indicar al SDM que queremos visualizar que comandos se ejecutarán en el router antes de que se ejecuten. De esta forma podemos aprender los comandos en la CLI.

6. Los asistentes del SDM.

Los asistentes del modo de configuración son:

- Interfaces y conexiones: el asistente LAN permite configurar interfaces LAN y DHCP y el asistente WAN permite configurar PPP, Frame Relay y HDLC.
- Cortafuego y ACL: permite configurar un cortafuegos simple (inside, outside) o uno avanzado (inside, dmz, outside).
- VPN: permite configurar una VPN sitio-a-sitio, un acceso VPN, un servidor VPN o una VPN dinámica multipunto (DMVPN).
- Auditoría de seguridad: permite realizar una auditoría o fortalecer la seguridad del mismo.
- Enrutamiento: permite configurar RIP, OSPF o EIGRP.
- NAT: permite asignar las interfaces inside-outside, asignar reglas, definir rangos y tiempos de validez.
- Prevención de intrusos: permite habilitar o inhabilitar el sistema de detección de intrusos en la interfaz seleccionada. También detecta si existe algún módulo de red de detecciones de intrusos.
- Calidad de servicio: permite configurar reglas y políticas.
- Tareas adicionales: permite configurar cualquier parámetro en el orden deseado.

Los asistentes del modo de monitorización son:

- Descripción general.
- Estado de las interfaces.
- Estado del cortafuegos.
- Estado de las VPN.
- Estado de la QoS.
- Estado del NAC.
- Estado del registro

Fuente:# ./Hacktracking