top of page

Cisco ASA und ssh-Zugriff (ASA Version 9.18)

Nach einem Software-Update auf die Cisco ASA Version 9.18 hatten wir Probleme, per ssh auf die ASA und Contexte zuzugreifen.


Im Testlab schlug der Versuch fehl, da mutmaßlich die LAB-Komponenten, Cisco Firepower 4120, nicht ausreichend für die Verschlüsselung lizenziert waren.


Die Fehlermeldung deutet (nicht) darauf hin:


Auf der produktiven Cisco ASA mit passender Lizenzierung lies sich das ssh-Problem lösen, in dem wir einen langen RSA-Schlüssel erzeugt haben, und zudem den key-exchange auf EC DH gesetzt haben.


!
crypto key generate rsa modulus 4096
!
ssh stricthostkeycheck
ssh timeout 60
ssh version 2
ssh key-exchange group ecdh-sha2-nistp256
ssh 10.20.30.0 255.255.255.0 management
!

Ebenso muß ein passender Login existieren:


asa/mgt# sh run aaa
aaa authentication ssh console LOCAL 
aaa authentication enable console LOCAL 

Für die ssh-Verbindung müssen mehrere Parameter passend sein:

- encryption cipher

- integrity cipher

Zudem muß der Key-Austausch übereinstimmend sein.


Mit diesem Setting funktionierte der ssh-Zugriff mit Putty auf die Cisco ASA sofort, ohne die ssh-Einstellungen am Client anzupassen.

20 Ansichten0 Kommentare

Comments


bottom of page