Introducción al SDM de Cisco

El SDM (Security Device Manager) de Cisco es una herramienta Web que permite, sin tener
conocimientos de la CLI, poder configurar de forma gráfica o a través de asistentes los servicios del
router.

1. Descripción del SDM.

El SMD es una herramienta Web intuitiva que facilita la gestión de los servicios de los routers Cisco.
Contiene asistentes, puede recomendar configuraciones de seguridad óptimas, puede ayudar a encontrar
problemas de funcionamiento o realizar auditorías en el router. El SDM ayuda al novato y mejora la
productividad del experto. SDM sólo puede gestionar un dispositivo a la vez, no penaliza el consumo de
RAM o CPU del router gestionado, puede coexistir con otras herramientas de gestión y CLI.

2. Preparar el SDM o el SDM Express.

Cisco SDM está instalado de serie en algunos modelos de routers. Si no está instalado de serie puede
venir en un CD o es posible descargarlo desde cisco.com.

Si el router no tiene instalado SDM de serie tenemos que prepararlo para que SDM pueda acceder desde
un PC correctamente:
Router(config)# username XXXX privilege 15 secret XXXX
Router(config)# ip http authentication local
Router(config)# ip http secure-server
Router(config)# line console 0
Router(config-line)# login local
Router(config)# line vty 0 15
Router(config-line)# privilege level 15
Router(config-line)# transport input telnet ssh
Router(config)# hostname XXXX
XXXX(config)# ip domain name seclab.net
XXXX(config)# crypto key generate rsa general-keys

Choose the size of the key modulus in the range of 360 to 2048 for
your General Purpose Keys. Choosing a key modulus greater than 512 may
take a few minutes.
How many bits in the modulus [512]:
% Generating 512 bit RSA keys ...[OK]

En el caso de querer ejecutar el SDM desde el router los ficheros necesarios son:

Router# show flash:

System flash directory:

File Length Name/status
1 9283820 c2600-ipbase-mz.123-6f.bin
2 1007616 common.tar
3 812544 es.tar
4 1038 home.shtml
5 113152 home.tar
6 1652 sdmconfig-26xx.cfg
7 4049920 sdm.tar

Los ficheros 2-7 son necesarios para SDM y los fichero 1 y 6 variarán en función de la IOS utilizada y del
fichero de configuración para el modelo de router configurado.

3. Ejecutar el SDM Express.

SDM Express es un asistente inicial que permite configurar el router.

Si tenemos un router que tiene SDM instalado de fábrica y en el navegador escribimos http://10.10.10.1
accederemos a SDM Express. Si tenemos un router que no lo tiene instalado de fábrica podemos copiar
los archivos necesarios en la flash de router, copiar el fichero sdmconfig-xxxx.cfg en la configuración
activa y acceder escribiendo http://10.10.10.1 en el navegador. Si SDM detecta que algunos parámetros
no están configurados ejecutará el SDM Express.
El SDM Express permite configurar:
• Nombre del equipo y dominio.
• Un usuario y su contraseña.
• La contraseña enable secret.
• Las interfaces LAN del router.
• El router como un servidor DHCP.
• Las direcciones IP de los DNS.
• Las interfaces WAN.
• Algunos servicios para que sean deshabilitados.
• El servidor NTP con el que nos sincronizaremos.
Después de configurar el router con SDM Express, no volveremos a utilizarlo ya que las siguientes veces
accederemos directamente al SDM.

4. Ejecutar el SDM.

Ya hemos visto que podemos ejecutar el SDM desde el router pero también podemos instalándolo en un
PC. Para ello, después de la instalación, podemos ejecutarlo desde el acceso directo del escritorio 'Cisco
SDM' indicando la dirección IP del router que queremos gestionar.

5. Navegar a través de la GUI del SDM.

La navegación en el SDM se realiza desde la barra de herramientas. En esta barra encontramos dos
modos: el de configuración y el de monitorización. Al seleccionar uno de los modos aparece una panel a
la derecha con todos los asistentes que proporciona el modo. No obstante, los más expertos también
pueden realizar todas las configuraciones sin utilizar los asistentes.
El botón de refrescar permite sincronizar la configuración activa del router con el SDM. El botón de
salvar permite guardar la configuración activa en la NVRAM.
Una de las mejores opciones consiste en indicar al SDM que queremos visualizar que comandos se
ejecutarán en el router antes de que se ejecuten. De esta forma podemos aprender los comandos en la CLI.

6. Los asistentes del SDM.

Los asistentes del modo de configuración son:

- Interfaces y conexiones: el asistente LAN permite configurar interfaces LAN y DHCP y el asistente
WAN permite configurar PPP, Frame Relay y HDLC.
- Cortafuego y ACL: permite configurar un cortafuegos simple (inside, outside) o uno avanzado (inside,
dmz, outside).
- VPN: permite configurar una VPN sitio-a-sitio, un acceso VPN, un servidor VPN o una VPN dinámica
multipunto (DMVPN).
- Auditoría de seguridad: permite realizar una auditoría o fortalecer la seguridad del mismo.
- Enrutamiento: permite configurar RIP, OSPF o EIGRP.
- NAT: permite asignar las interfaces inside-outside, asignar reglas, definir rangos y tiempos de validez.
- Prevención de intrusos: permite habilitar o inhabilitar el sistema de detección de intrusos en la interfaz
seleccionada. También detecta si existe algún módulo de red de detecciones de intrusos.
- Calidad de servicio: permite configurar reglas y políticas.
- Tareas adicionales: permite configurar cualquier parámetro en el orden deseado.

Los asistentes del modo de monitorización son:

- Descripción general.
- Estado de las interfaces.
- Estado del cortafuegos.
- Estado de las VPN.
- Estado de la QoS.
- Estado del NAC.
- Estado del registro