Configureer / configure SSH

In Cisco , Asa , door: Martin Gepubliceerd op


De security appliance accepteert SSH connecties voor het uitvoeren van beheerstaken.
Maximaal kunnen er 5 gelijktijdige sessies worden opgebouwd per context, met een totaal van 100 connecties over alle contexten.

De security appliance biedt ondersteuning aan SSH versie 1 & 2 en ondersteuning voor DES & 3DES encryptie.


SSH configureren in 5 stappen

Stap1:
Voordat SSH geconfigureert kan worden MOET er een domeinnaam ingesteld worden.

pix(config)# host-name pixfw
pixfw(config)# domain-name domein.local


Stap2:
Als 2e moet een RSA key pair gegenereerd worden...

pixfw(config)# Crypto key generate rsa modulus modulus_size

De modulus_size kan waarde hebben van: 512, 768, 1024 of 2048
Aanbevelingswaarde van Cisco is 1024

Stap3:
Sla de RSA Keys op in het Flash geheugen.

pixfw(config)# write mem

Stap4:
Geef aan vanaf welke host / hosts of subnet een SSH sessie mag worden opgebouwd.

pixfw(config)# ssh source_IP_address mask source_interface


Stap5:
Als laatste kan de idle time nog ingesteld worden.
Deze idle timeout controleert hoe lang een actieve sessie niet gebruikt wordt, overschrijdt deze de ingestelde timer dan wordt de sessie automatisch afgebroken.

Standaard is de idle timeout 5 minuten, deze kan verandert van 1 tot 60 minuten.
pixfw(config)# ssh timeout minutes

Optioneel:
Standaard ondersteunt de security appliance SSH 1 & 2, er is ook een mogelijkheid om te kiezen voor 1 versie.


pixfw(config)# ssh version version_number

Het version_number kan dan 1 of 2 zijn.


Voorbeeld

pix>
pix> configure terminal
pix(config)# hostname pixfw
pixfw(config)# domain-name domein.local
pixfw(config)# crypto key generate rsa modulus 1024
pixfw(config)# write mem
pixfw(config)# ssh 192.168.1.2 255.255.255.255 inside
pixfw(config)# ssh 192.168.1.6 255.255.255.255 inside
pixfw(config)# ssh timeout 30

Mocht er ook een compleet subnet toegang moeten hebben tot de security appliance:

pixfw(config)# ssh 192.168.3.0 255.255.255.0 inside
RSS Twitter e-mail