Для этой чудесной железки под названием Cisco ASA есть замечательный GUI под
названием Adaptive Security Device Manager
(ASDM) и рулить
настройками можно не вникая в тонкости командной строки. Все бы ничего, но что
делать, если необходимо настроить файрвол удаленно, а очень часто так и бывает.
Тут как всегда не обойтись без старого доброго SSH. По умолчанию, конечно, он не
активирован, и его надо настроить. Настройка во многом схожа с другими
железками от Cisco, но,
тем не менее, нюансы свои имеются.
Для начала, необходимо имя хоста и домена.
ciscoasa(config)# hostname ASAASA(config)#
В имени допустимо максимум 63 символа
ASA(config)# domain-name unix.ntASA(config)#
Далее, естественно, должен быть задан пароль для входа в
администраторский режым.
ASA(config)# enable password $uper$ecret level 15
Конечно же, должно быть задано имя и пароль пользователя c с
необходимыми привилегиями
ASA(config)# username andrey password @ndreypa$$ pri 15
Теперь можно сгенерировать ключ шифрования.
ASA(config)# crypto key generate rsaINFO: The name for the keys will be:Keypair generation process begin. Please wait...ASA(config)#
Переходим непосредственно к настройке SSH. Указываем версию:
ASA(config)# ssh version 2ASA(config)# ssh ?configure mode commands/options:Hostname or A.B.C.D The IP address of the host and/or network authorized tologin to the systemX:X:X:X::X/<0-128> IPv6 address/prefix authorized to login to the systemscopy Secure Copy modetimeout Configure ssh idle timeoutversion Specify protocol version to be supportedexec mode commands/options:disconnect Specify SSH session id to be disconnected after this keyword
Указываем откуда разрешить логин.
ASA(config)# ssh 192.168.10.0 255.255.255.0 ?configure mode commands/options:Current available interface(s):exit Name of interface Ethernet0/0.10outside Name of interface Ethernet0/0ASA(config)# ssh 192.168.10.0 255.255.255.0ASA(config)# ssh 192.168.10.0 255.255.255.0 exit
Тут у меня exit это имя интерфейса, а разрешил я целую подсеть.
Теперь SSH запущен, но чтобы
авторизироваться под созданным пользователем нужно ввести команду
ASA(config)# aaa authenticatication ssh console LOCAL
Как видно из адресации, у меня ASA в локальной сети, так что неплохо бы
добавить адреса DNS и шлюза.
ASA(config)# dns domain-lookup ?configure mode commands/options:Current available interface(s):exit Name of interface Ethernet0/0.10outside Name of interface Ethernet0/0ASA(config)# dns domain-lookup exitASA(config)# dns name-server 8.8.8.8ASA(config)# route exit 0.0.0.0 0.0.0.0 192.168.10.1ASA(config)# ping google.comType escape sequence to abort.Sending 5, 100-byte ICMP Echos to 173.194.44.46, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 40/44/50 msASA(config)#
Посмотреть активные сессии можно так
ASA# show ssh sessionsSID Client IP Version Mode Encryption Hmac State Username1 192.168.10.9 2.0 IN aes128-cbc md5 SessionStarted andreyOUT aes128-cbc md5 SessionStarted andreyASA#
No comments:
Post a Comment