Nach einem Software-Update auf die Cisco ASA Version 9.18 hatten wir Probleme, per ssh auf die ASA und Contexte zuzugreifen.
Im Testlab schlug der Versuch fehl, da mutmaßlich die LAB-Komponenten, Cisco Firepower 4120, nicht ausreichend für die Verschlüsselung lizenziert waren.
Die Fehlermeldung deutet (nicht) darauf hin:
Auf der produktiven Cisco ASA mit passender Lizenzierung lies sich das ssh-Problem lösen, in dem wir einen langen RSA-Schlüssel erzeugt haben, und zudem den key-exchange auf EC DH gesetzt haben.
!
crypto key generate rsa modulus 4096
!
ssh stricthostkeycheck
ssh timeout 60
ssh version 2
ssh key-exchange group ecdh-sha2-nistp256
ssh 10.20.30.0 255.255.255.0 management
!
Ebenso muß ein passender Login existieren:
asa/mgt# sh run aaa
aaa authentication ssh console LOCAL
aaa authentication enable console LOCAL Für die ssh-Verbindung müssen mehrere Parameter passend sein:
- encryption cipher
- integrity cipher
Zudem muß der Key-Austausch übereinstimmend sein.
Mit diesem Setting funktionierte der ssh-Zugriff mit Putty auf die Cisco ASA sofort, ohne die ssh-Einstellungen am Client anzupassen.