jmanteau

Mon coin de toile - A piece of Web

Activation du SSH et gestion des clefs sur ASA 8.x

Posted at — Feb 8, 2012
Activation du SSH et gestion des clefs sur ASA 8.x

Devrant écrire une documentation rapide pour l’activation et la regénération de clefs pour un ASA en version 8.x, la voici:

Configuration

A partir de la console en mode configuration (conf t):

ciscoasa(config)# enable password xxxxx

Il est recommandé de toujours mettre le mot de passe enable

ciscoasa(config)# username xxx password xxxx privilege 15

L’admin local et son mot de passe qui effectuera la connexion SSH. Pour plus d’infos sur les privilèges voir

ciscoasa(config)# aaa authentication ssh console LOCAL

Le mot clé local précise d’utiliser l’utilisateur défini dans la base locale à l’étape précédente. On peut utiliser d’autres moyen d’authentifications comme TACACS, RADIUS …

ciscoasa(config)# ssh a.b.c.d 255.255.255.0 inside

On précise quelles IPs ont le droit de se connecter en SSH et depuis quelles interfaces. A répéter sur toutes les interfaces ayant besoin d’être activées.

ciscoasa(config)# ssh timeout 30

Le temps d’inactivité autorisé avant déconnexion.

ciscoasa(config)# ssh version 2

On n’autorise que la version 2 de SSH. La 1 étant deprecated pour des raisons de sécurité.

ciscoasa(config)# domain-name monnom.com

Le nom de domaine à utiliser. La clé RSA est générée en utilisant le nom de domaine plus le nom du firewall

ciscoasa(config)# crypto key generate rsa modulus 2048

On génére une clef SSH RSA 2048bits.

ciscoasa(config)# wr

On écrit les clefs en mémoire pour ne pas les perdre après redémarrage.

Si on résume:

ciscoasa(config)# enable password xxxxx  ciscoasa(config)# domain-name monnom.com  ciscoasa(config)# username xxx password xxxx  ciscoasa(config)# aaa authentication ssh console LOCAL  ciscoasa(config)# ssh a.b.c.d 255.255.255.0 inside  ciscoasa(config)# ssh timeout 30  ciscoasa(config)# ssh version 2  ciscoasa(config)# crypto key generate rsa modulus 2048  ciscoasa(config)# wr

Visualisation

asa(config)# show ssh sessions ?  exec mode commands/options: Hostname or A.B.C.D Show SSH sessions corresponding to SSH client IP address Hostname or X:X:X:X::X Show SSH sessions corresponding to SSH client IPv6 address | Output modifiers

Sessions SSH en cours

asa(config)# show crypto key mypubkey rsa Key pair was generated at: 12:48:08 UTC Feb 8 2012 Key name: Usage: General Purpose Key Modulus Size (bits): 1024 Key Data:  30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00bf9109 79f201ad 7f0edfc1 9192a31d 8da48eb6 f0cc3a37 2ce5472d 6b73523f 9e4f00fd abdedeea e519cb86 f31bdbca 68a55367 b3fd95e1 cd692d8b 493f0e7e c2cbf8a3 af826c2c 53111c59 c3f2fb92 d6ac54a3 ac093afc c9027c76 3d8dcbed 51d44e34 d4a95ced 037e56da 8f9849f5 0d6d9014 dd95929f f77be2f2 8ce53eee 65020301 0001

Affichage de la clef RSA

Reconfiguration

Et en cas de changement de hostname ou de domain-name ? Il est alors recommandé de réinitialiser les clefs ssh.

Pour cela :

ciscoasa(config)# hostname nouveau-hostname  nouveau-hostname(config)# crypto key zeroize rsa  nouveau-hostname(config)# crypto key generate rsa modulus 2048  nouveau-hostname(config)# wr