SSH-Zugang bei Cisco-ASA Firewalls aktivieren

Beim Fernzugriff ist SSH immer dem Zugang via Telnet vorzuziehen, da bei SSH alle Eingaben verschlüsselt übertragen werden.

In diesem kurzen Beitrag zeige ich, wie man bei Cisco ASA-Firewalls den Zugang aktiviert auf dem Inside-Interface, also für Zugriffe aus dem lokalen Netzwerk.

Ich arbeite im LAN mit dem Netz 192.168.100.0/24

Nach erfolgter Verbindung via Konsole muss in den Config-Mode gewechselt werden:

asa# config t

Zusätzlich sollte ein Passwort für den Enable-Mode gesetzt sein. Falls nicht, kann das direkt nachgeholt werden:

asa(config)# enable password TEXT

Jetzt legen wir einen lokalen Benutzer für den SSH-Login an, in diesem Fall mit dem Benutzernamen admin und dem Kennwort password – Das Passwort dient hier nur als Platzhalter und sollte unbedingt gegen eine eigene Kombination ersetzt werden bei der Eingabe.

asa(config)# aaa authentication ssh console LOCAL
asa(config)# username admin password ABC123 privilege 15

Mit der folgenden Zeile wird der Zugang aus dem LAN gestattet.

asa(config)# ssh 192.168.100.0 255.255.255.0 inside

Zum Schluss muss noch ein RSA-Schlüssel generiert werden, um die Verschlüsselung für das SSH-Protokoll zu realisieren. In der ersten Zeile wird der Domain-Name vergeben, das ist unbedingt erforderlich bei Cisco, um einen Key zu erzeugen. Ich habe hier als Beispiel für den Hostname firewall-intern.com verwendet, der Hostname kann beliebig sein.

asa(config)# domain-name firewall-intern.com
asa(config)# crypto key generate rsa modulus 1024

Kommentar verfassen