Phần 4. Cấu hình SSH

• Yêu cầu 1: tạo ra rsa key cho thiết bị asa.

• Yêu cầu 2: các máy ssh tới asa phải cài đặt chương trình hỗ trợ ssh.

Cấu hình:

interface Management0/0

management-only

nameif inside

security-level 100

ip address 192.168.20.100 255.255.255.0

Bước 1. Configure Enable password

FW-ASA-DTU(config)# enable password dtu

Bước 2. Tạo Username & Password:

FW-ASA-DTU(config)# username dtu password dtu@123

Bước3. Configure this local username to authenticate with SSH.

FW-ASA-DTU(config)# aaa authentication ssh console LOCAL

Lưu ý: Viết HOA chữ LOCAL

Bước 4. Tạo ra rsa key cho asa

FW-ASA-DTU(config)# crypto key generate rsa

WARNING: You have a RSA keypair already defined named .

Do you really want to replace them? [yes/no]: yes

Keypair generation process begin. Please wait...

FW-ASA-DTU(config)#

SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền.

Bước 5. Tiếp theo chúng ta sẽ kiểm tra key rsa được sinh ra

FW-ASA-DTU(config)# show crypto key mypubkey rsa

Key pair was generated at: 05:25:27 UTC Nov 13 2017

Key name:

Usage: General Purpose Key

Modulus Size (bits): 1024

Key Data:

30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00dcbb84

d596be4d d2ca4ed3 3dbbf589 9475bddd b8f20856 696c8697 fdde815f a3d840c4

a9e74279 3dac530f c25addcb a61c4b8f e31bed2d 1e396ce6 93fa1a1e 373f67e6

f66fe8a7 e9e04641 6f18c694 d82c684a 4d83f9ed f3d95ce1 ba594e8a c0b47efc

7700a81f a26b0437 0c2876fc 4384f0cb 3449f1c1 c6ecd29a fcb4dc96 8b020301

0001

FW-ASA-DTU(config)#

Bước 6. Tương tự như telnet ở trên, chúng ta sẽ cấu hình các máy nào sẽ được ssh vào asa.

FW-ASA-DTU(config)# ssh 192.168.20.0 255.255.255.0 inside

Vì 1 phiên ssh được mã hóa, nên ipsec tunnel không cần phải thiết lập đối với các interface outside, nên các user thuộc interface outside vẫn có thể ssh tới asa bình thường.

Lưu ý: Mặc định nếu không có hệ thống AAA thì username là pix và password là password được cài đặt bằng command “passwd”.

FW-ASA-DTU(config)# passwd dtu

Bước 7. Cấu hình version cho ssh, chúng ta làm như sau:

FW-ASA-DTU(config)# ssh version 2

SSH có 2 version là version 1 & version 2. ASA hỗ trợ cả 2 version. Nhưng chúng ta nên dùng version 2 vì nó có tính bảo mật cao hơn & mã hóa mạnh hơn version 1.

Bước 8. Kết nối

Mở Private Shell => Server name = 192.168.20.100; Username = dtu; Password = dtu@123

Bước 9. Kiểm tra

Để kiểm tra các Session của SSH, chúng ta dùng lệnh "show ssh sessions"

FW-ASA-DTU# show ssh sessions

SID Client IP Version Mode Encryption Hmac State Username

0 192.168.20.1 2.0 IN aes128-cbc sha1 SessionStarted dtu

OUT aes128-cbc sha1 SessionStarted dtu

FW-ASA-DTU#

Để ngắt kết nối một session ssh đang chạy, chúng ta dùng lệnh “ssh disconnect”.

FW-ASA-DTU# ssh disconnect 0

References

[1]http://www.mustbegeek.com/configure-ssh-access-in-cisco-asa/

[2]https://cuongquach.com/firewall-asa-bai-1-cau-hinh-co-ban.html

[3]https://learningnetwork.cisco.com/thread/76581

[4]Nhóm tác giả TT Tin học VNPro, CCSP LABPRO (ISCW, SNRS, IPS & CSMARS, SNAF & SNAA), NXB Thông tin & Truyền thông.