Beim Fernzugriff ist SSH immer dem Zugang via Telnet vorzuziehen, da bei SSH alle Eingaben verschlüsselt übertragen werden.
In diesem kurzen Beitrag zeige ich, wie man bei Cisco ASA-Firewalls den Zugang aktiviert auf dem Inside-Interface, also für Zugriffe aus dem lokalen Netzwerk.
Ich arbeite im LAN mit dem Netz 192.168.100.0/24
Nach erfolgter Verbindung via Konsole muss in den Config-Mode gewechselt werden:
asa# config t
Zusätzlich sollte ein Passwort für den Enable-Mode gesetzt sein. Falls nicht, kann das direkt nachgeholt werden:
asa(config)# enable password TEXT
Jetzt legen wir einen lokalen Benutzer für den SSH-Login an, in diesem Fall mit dem Benutzernamen admin und dem Kennwort password – Das Passwort dient hier nur als Platzhalter und sollte unbedingt gegen eine eigene Kombination ersetzt werden bei der Eingabe.
asa(config)# aaa authentication ssh console LOCAL
asa(config)# username admin password ABC123 privilege 15
Mit der folgenden Zeile wird der Zugang aus dem LAN gestattet.
asa(config)# ssh 192.168.100.0 255.255.255.0 inside
Zum Schluss muss noch ein RSA-Schlüssel generiert werden, um die Verschlüsselung für das SSH-Protokoll zu realisieren. In der ersten Zeile wird der Domain-Name vergeben, dies ist unbedingt erforderlich bei Cisco, um einen Key zu erzeugen. Ich habe hier als Beispiel für den Hostname firewall-intern.com verwendet, der Hostname kann beliebig sein.
asa(config)# domain-name firewall-intern.com
asa(config)# crypto key generate rsa modulus 1024
Schreibe einen Kommentar