SSH sur l'interface interne PIX ASA 7.x - SSH sur l'interface interne et externe ccnp_cch

Sommaire • Configuration • Vérification • Résolution de problèmes • Introduction - Composants utilisés - Produits liés • Configuration - Schéma - Configurations • Vérification - Debug SSH - Afficher les sessions SSH actives - Afficher les clés publiques RSA • Résolution de problèmes - Comment retirer les clés RSA du PIX ccnp_cch

Introduction Composants utilisés ccnp_cch Ce document fournit un exemple de configuration de SSH sur les interfaces internes et externes de l'appliance de sécurité Cisco PIX série 500 version 7.x. La configuration à distance de l'application de sécurité Cisco PIX 500 comprend l'utilisation de Telnet et de SSH. Comme les communications Telnet se font en clair y compris les mots de pas- se, SSH est recommandé. Le trafic SSH est crypté et de ce fait évite que les mots de passe et d'autres commandes de configuration soient aisément interceptées. L'appliance de sécurité PIX série 500 permet des connexions SSH vers l'appliance de sécurité pour des besoins de gestion. L'appliance de sécurité autorise un maximum de cinq connexions simultanées par contexte de sécurité, si disponible, et un nombre global de 100 connexions pour l'ensemble des contextes. Dans cet exemple de configuration, le PIX est considéré comme le serveur SSH. Le tra- fic des clients SSH (10.1.1.2/2' et 172.16.1.1/16) vers le serveur SSH est crypté. L'ap- pliance de sécurité supporte la fonctionnalité du shell SSH distant fournie dans SSH version 1 et SSH version 2 et le cryptage DES (Data Encryption Standard) et 3DES. SSH version 1 et SSH version 2 ne sont pas compatibles. Composants utilisés Les informations présentées dans ce document sont basées sur Cisco ASA série 5500 Security Appliance Produits liés Cette configuration peut être aussi utilisée avec l'appliance de sécurité Cisco ASA série 5500. Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Serveur SSH PIX inside 172.16.5.10/16 Client SSH 10.1.1.2/24 Réseau 172.16.1.1/16 Routeur 10.1.1.1/24 PIX outside 192.168.200.1/24 ccnp_cch

Accès à l'appliance de sécurité avec SSH Configurations Accès à l'appliance de sécurité avec SSH Exécutez les étapes suivantes pour configurer l'accès SSH. 1. Les sessions SSH requièrent toujours un "username" et "password" pour l'authentifi- cation. Il y a deux manières de satisfaire cette exigence. Configurer un "username" et "password" et utiliser AAA. pix(config)#username username password password pix(config)#aaa authentication ssh console LOCAL ou utiliser le username par défaut pix et le mot de passe Telnet par défaut cisco. Vous pouvez changer le mot de passe Telnet avec la commande. pix(config)#passwd password Note: la commande password peut aussi être utilisée dans cette situation. Les deux commandes font la même chose. Sélectionnez Configuration> Properties> Device> Administration> User Accounts pour ajouter un utilisateur avec l'ASDM. ccnp_cch

Sélectionnez Configuration> Properties> Device Access> Authentication pour para- métrer l'authentification AAA pour SSH avec l'ASDM. Sélectionnez Configuration> Properties> Device> Administration> Password pour changer le mot de passe Telnet avec l'ASDM. ccnp_cch

ccnp_cch 2. Générez la paire de clés RSA requises par SSH pour le PIX. pix(config)#crypto key generate rsa modulus modulus_size Note: Le modulus_size (en bits) peut être 512, 768, 1024, or 2048. Plus le modulo de clé grand plus cela prendra de temps pour générer la paire de clés RSA. La valeur 1024 est recommandée. Note: La commande utilisée pour générer la paire de clés RSA est différente pour les versions de logiciel PIX antérieures à 7.x. Dans les versions antérieures un nom de domaine devait être configuré avant de créer les clés. Sélectionnez Configuration > Properties > Certificate > Key Pair, cliquez sur Add et utilisez les options par défaut présentées pour générer les clés RSA avec l'ASDM. 3. Spécifiez les hosts autorisés à se connecter à l'appliance de sécurité. Cette commande spécifie l'adresse source, le masque de réseau et par quelles inter- faces le host est autorisé à se connecter avec SSH. Elle peut être entrée plusieurs fois, pour plusieurs hosts, réseaux ou interfaces. Dans cet exemple, un host sur l'interface interne et un host sur l'interface externe sont autorisés. pix(config)#ssh 172.16.1.1 255.255.255.255 inside pix(config)#ssh 10.1.1.2 255.255.255.255 outside ccnp_cch

4. Optionnel : par défaut l'appliance de sécurité autorise SSH version 1 et SSH version 2. Entrez cette commande pour restreindre les connexions à une version particulière. pix(config)# ssh version <version_number> Note: version_number peut être égal à 1 ou 2. 5. Optionnel : Par défaut les sessions SSH sont fermées après cinq minutes d'inactivi- té. Ce délai peut être configuré de 1 à 60 minutes. pix(config)#ssh timeout minutes Sélectionnez Configuration > Properties > Device Access > Secure Shell pour utiliser l'ASDM pour spécifier les hosts autorisés à se connecter avec SSH, la version et le timeout. ccnp_cch

ccnp_cch Comment utiliser un client SSH Donnez le "username" et "password" pendant que vous êtes en session SSH. Quand vous démarrez une session SSH., un point (.) est affiché sur la console de l'appliance de sécurité avant que le prompt d'authentification de l'utilisation de SSH apparaisse. hostname(config)# . L'affichage du point n'affecte pas la fonctionnalité SSH. Le point apparaît à la console quand une clé serveur est générée ou un message est décrypté en utilisant les clés pendant l'échange de clés *ssh avant que l'authentification de l'utilisateur arrive. Ces tâches peuvent prendre deux minutes ou plous. Le point est un indicateur de progres- sion qui vérifie que l'appliance de sécurité est occupé et n'est pas bloquée. SSH versions 1.x et 2 sont totalement différents et ne sont pas compatibles. Téléchar- gez un client compatible. Configuration du PIX Configuration du PIX PIX Version 7.1(1) ! hostname pix enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address 192.168.200.1 255.255.255.0 interface Ethernet1 nameif inside security−level 100 ip address 172.16.5.10 255.255.0.0 passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp permit any outside no asdm history enable arp timeout 14400 route outside 10.1.1.0 255.255.255.0 192.168.200.1 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 ccnp_cch

ccnp_cch timeout uauth 0:05:00 absolute !−−− AAA pour la configuration SSH username ciscouser password 3USUcOPFUiMCO4Jk encrypted aaa authentication ssh console LOCAL http server enable http 172.16.0.0 255.255.0.0 inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstar telnet timeout 5 !−−− Entrez cette commande pour chaque adresse ou sous-réseau !−−− pour identifier les adresses IP à partir desquelles !−−− l'appliance de sécurité accepte les connexions. !−−− L’appliance de de sécurité accepte les connexions SSH de !--- toutes les interfaces. ssh 10.1.1.2 255.255.255.255 outside !−−− Autorise les utilisateurs du host 172.161.1.1 !−−− à accéder à l'appliance de sécurité sur l'interface !−−− inside. ssh 172.16.1.1 255.255.255.255 inside !−−− Fixe la durée d'inactivité de la session SSH (1 à 60 minutes) !−−− (5 minutes par défaut) avant que l'appliance de sécurité !−−− ferme la session. ssh timeout 60 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:a6b05fd04f9fbd0a39f1ca7328de91f7 : end ccnp_cch

Vérification ccnp_cch Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Debug SSH Entrez la commande debug ssh pour activer le debugging SSH. pix(config)#debug ssh SSH debugging on Cette sortie montre que la requête d'authentification issue du host 10.1.1.2 (externe au PIX) vers "pix" a réussi. pix# Device ssh opened successfully. SSH0: SSH client: IP = '10.1.1.2' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string:SSH−1.99−Cisco−1.25 SSH0: receive SSH message: SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for Windows SSH0: begin ser ver key generation SSH0: complete server key generation, elapsed time = 1760 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 SSH2 0: SSH2_MSG_NEWKEYS sent SSH2 0: waiting for SSH2_MSG_NEWKEYS SSH2 0: newkeys: mode 0 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication successful for pix !−−− L'authentification pour le PIX a réussi. SSH2 0: channel open request SSH2 0: pty−req request SSH2 0: requested tty: vt100, height 25, width 80 SSH2 0: shell request SSH2 0: shell message received ccnp_cch

Si un utilisateur fournit un "username" incorrect "pix1" au lieu de "pix", le pare-feu PIX rejette l'authentification. Cette sortie de debug montre que l'authentification a échouée. pix# Device ssh opened successfully. SSH0: SSH client: IP = '10.1.1.2' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string:SSH−1.99−Cisco−1.25 SSH0: receive SSH message: 83 (83) SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for Windows SSH0: begin server key generation SSH0: complete server key generation, elapsed time = 1960 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 SSH2 0: SSH2_MSG_NEWKEYS sent SSH2 0: waiting for SSH2_MSG_NEWKEYS SSH2 0: newkeys: mode 0 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix1): user authen method is 'no AAA', aaa server group ID = 0 SSH(pix1): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication failed for pix1 !−−− L'authentification pour pix1 a échoué à cause du username !--- incorrect. ccnp_cch

De manière similaire si l'utilisateur fournit un mot de passe incorrect, cette sortie de debug montre que l'authentification a échoué. pix# Device ssh opened successfully. SSH0: SSH client: IP = '10.1.1.2' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string: SSH−1.99−Cisco−1.25SSH0: receive SSH message: 83 (83) SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for Windows SSH0: begin server key generation SSH0: complete server key generation, elapsed time = 1920 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 SSH2 0: SSH2_MSG_NEWKEYS sent SSH2 0: waiting for SSH2_MSG_NEWKEYS SSH2 0: newkeys: mode 0 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication failed for pixSSH(pix): user authen method SSH2 0: authentication failed for pix !−−− L'authentification pour le PIX a échoué à cause du mot !--- de passe incorrect. Afficher les sessions SSH actives Entrez cette commande pour vérifier le nombre de sessions SSH connectées et l'état de chaque connexion sur le PIX. pix#show ssh session SID Client IP Version Mode Encryption Hmac State Username 0 10.1.1.2 1.99 IN aes128−cbc md5 SessionStarted pix OUT aes128−cbc md5 SessionStarted pix Sélectionnez Monitoring > Properties > Device Access > Secure Shell Sessions pour voir les sessions SSH avec l'ASDM. ccnp_cch

Résolution de problèmes Afficher les clés publiques RSA Entrez cette commande pour afficher la partie publique des clés RSA sur l'appliance de sécurité. pix#show crypto key mypubkey rsa Key pair was generated at: 19:36:28 UTC May 19 2006 Key name: <Default−RSA−Key> Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00c172f4 95f66c34 2c2ced37 aa3442d8 12158c93 131480dd 967985ab 1d7b92d9 5290f695 8e9b5b0d d88c0439 6169184c d8fb951c 19023347 d6b3f939 99ac2814 950f4422 69b67328 f64916b1 82e15341 07590da2 390fbefd 38758888 7319196c de61aef1 165c4bab 03d081d5 ddaf15cc c9ddb204 c2b451e0 f19ce0f3 485b1d69 8b020301 0001 Sélectionnez Configuration > Properties > Certificate > Key Pair, choisir la paire de clé à afficher et cliquez sur Show Details pour afficher les clés RSA avec l'ASDM. Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des problèmes liés à votre configuration. Comment retirer les clés RSA du PIX Certaines situations comme la mise à niveau du logiciel du PIX ou le changement de version de SSH dans le PIX pourrait vous obliger à retirer et à recréer les clés RSA. Entrez cette commande pour retirer la paire de clés RSA du PIX. pix(config)#crypto key zeroize rsa Sélectionnez Configuration > Properties > Certificate > Key Pair, choisissez la paire de clés à afficher et cliquer sur Delete pour retirer les clés RSA avec l'ASDM. ccnp_cch