Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
1
sur l'interface interne
PIX ASA 7.x - SSH/telnet sur l'interface interne et externe ccnp_cch
2
Sommaire Configuration Vérification Résolution de problèmes
Introduction - Composants utilisés - Produits liés Configuration - Schéma - Configurations SSH - Configuration avec ASDM 5.x - Configuration avec ASDM 6.x - Configuration Telnet - Support de SSH/Telnet dans ACS 4.x Vérification - Debug SSH - Afficher les sessions SSH actives - Afficher les clés publiques RSA Résolution de problèmes - Comment retirer les clés RSA du PIX ccnp_cch
3
Introduction Composants utilisés ccnp_cch
Ce document fournit un exemple de configuration de SSH 5secure Shell) sur les inter- faces inside et outside de l'appliance de sécurité Cisco version 7.x et suivantes. La con- figuration à distance de l'application de sécurité avec l'interface de commande inclut l'utilisation de Telnet ou de SSH. Comme les communications Telnet se font en clair y compris les mots de passe, SSH est fortement recommandé. Le trafic SSH est crypté dans un tunnel et par conséquent protège les mots de passe et d'autres commandes de configuration de l'appliance de sécurité. L'appliance de sécurité permet des connexions SSH vers l'appliance de sécurité pour des besoins d'administration. L'appliance de sécurité autorise un maximum de cinq connexions SSH concurrentes pour chaque contexte de sécurité, si cela est disponible, et un nombre global de 100 connexions tous contextes confondus. Dans cette configuration, l'appliance de sécurité PIX est considérée comme serveur SSH. Le trafic venant des clients SSH ( /24 et /16) vers le serveur SSH est crypté. L'appliance de sécurité supporte la fonctionnalité du shell SSH distant fournie dans les versions 1 et 2 et supporte les cryptages DES (Data Encryption Stan- dard) et 3DES. SSH version 1 et SSH version 2 sont différents et non compatibles. Composants utilisés Les informations présentées dans ce document sont basées sur Cisco PIX Firewall logiciel version 7.1 et 8.0 Produits liés Cette configuration peut être aussi utilisée avec l'appliance de sécurité Cisco ASA série 5500. Configuration Dans cette section sont présentées les informations nécessaires pour configurer les fonctionnalités décrites dans ce document. Schéma du réseau Serveur SSH PIX inside /16 Client SSH /24 Réseau /16 Routeur /24 PIX outside /24 ccnp_cch
4
Accès à l'appliance de sécurité avec SSH
Configurations SSH Accès à l'appliance de sécurité avec SSH Comment utiliser un client SSH Configuration du PIX Accès à l'appliance de sécurité avec SSH Exécutez les étapes suivantes pour configurer l'accès à l'appliance de sécurité avec SSH. 1. Les sessions SSH requièrent toujours un "username" et "password" pour l'authentifi- cation. Il y a deux manières de satisfaire cette exigence. Configurer un "username" et "password" et utiliser AAA pix(config)#username username password password pix(config)#aaa authentication {telnet | ssh | http | serial} console {LOCAL | server_group [LOCAL]} Note: Si vous utilisez un groupe de serveurs TACACS+ ou RADIUS, vous pouvez configurer l'appliance de sécurité pour utiliser la base de données locale comme mé- thode de secours si le serveur AAA est indisponible. Spécifier le nom du groupe de serveurs et ensuite LOCAL (LOCAL est sensible à la casse). Il est recommandé d'uti- liser les mêmes noms d'utilisateur et le même mot de passe dans la base de données locale et sur le serveur AAA car l'invite de l'appliance de sécurité ne donne pas d'in- dication sur la méthode utilisée Note: Exemple: pix(config)#aaa authentication ssh console TACACS+ LOCAL Note: Vous pouvez également utiliser la base de données locale comme méthode d'authentification principale sans méthode de secours. Pour faire cela entrez LOCAL seul. pix(config)#aaa authentication ssh console LOCAL ou utilisez le nom d'utilisateur par défaut pix et le mot de passe Telnet par défaut cisco. Vous pouvez changer le mot de passe Telnet avec cette commande: pix(config)#passwd password ccnp_cch
5
Note: La commande password peut également être utilisée dans cette situation. Les
deux commandes font la même chose Générez une paire de clés RSA pour le pare-feu PIX, requise pour SSH. pix(config)#crypto key generate rsa modulus modulus_size Note: L'argument modulus-size (en bits) peut être 512, 768, 1024 ou Plus le modulo de la clé est grand plus le temps nécessaire pour générer la paire de clés RSA sera long. La valeur 1024 est recommandée. Note: La commande utilisée pour générer une paire de clés RSA est différente pour les versions du logiciel PIX précédant la version 7.x. dans les versions précédentes, le nom de domaine doit être fixé avant de pouvoir créer les clés Note: En mode contextes multiples, vous devez générer une paire de clés RSA pour chaque contexte. De plus les commandes crypto ne sont pas supportées en mode contexte système . 3. Spécifiez les hosts qui sont autorisés à se connecter à l'appliance de sécurité Cette commande spécifie l'adresse IP source, le masque de réseau et l'interface par laquelle le ou les hosts sont autorisés à se connecter avec SSH. Elle peut être entrée plusieurs fois pour plusieurs hosts, réseaux ou interfaces. Dans cet exemple un host sur l'interface inside et un host sur l'interface outside sont autorisés pix(config)#ssh inside pix(config)#ssh outside 4. Optionnel. Par défaut, l'appliance de sécurité autorise les versions 1 et 2 de SSH Entrez cette commande pour restreindre les connexions à une version donnée pix(config)# ssh version <version_number> 5. Optionnel. Par défaut les sessions SSH sont fermées après cinq minutes d'inactivité. Ce délai peut être configuré pour une durée allant de 1 à 60 minutes pix(config)#ssh timeout minutes Comment utiliser un client SSH Fournissez le nom d'utilisateur et le mot de passe de login pour l'appliance de sécurité PIX 500 quand vous ouvrez une session. Quand vous ouvrez une session SSH un point est affiché sur la console de l'appliance de sécurité avant que le prompt d'au- thentification de l'utilisateur SSH apparaisse. L'affichage du point n'affecte pas le fonctionnement de SSH. Le point apparaît sur la console quand une clé de serveur est générée ou quand un message est décrypté avec la clé privée pendant l'échange de clés avant l'authentification de l'utilisateur. Ces tâ- ches peuvent prendre jusqu'à deux minutes ou plus. Le point est un indicateur de progression qui vérifie que l'appliance de sécurité est occupée et non bloquée. ccnp_cch
6
Les versions 1 et 2 de SSH sont totalement différentes et ne sont pas compatibles. Té-
léchargez un client compatible. Configuration du PIX Configuration du PIX PIX Version 7.1(1) ! hostname pix enable password 8Ry2YjIyt7RRXU24 encrypted names interface Ethernet0 nameif outside security−level 0 ip address interface Ethernet1 nameif inside security−level 100 ip address passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive pager lines 24 mtu outside 1500 mtu inside 1500 no failover icmp permit any outside no asdm history enable arp timeout 14400 route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 timeout mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute !−−− AAA pour la configuration SSH username ciscouser password 3USUcOPFUiMCO4Jk encrypted aaa authentication ssh console LOCAL http server enable http inside no snmp−server location no snmp−server contact snmp−server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ccnp_cch
7
ccnp_cch !−−− Entrez cette commande pour chaque adresse ou sous-réseau
!−−− pour identifier les adresses IP à partir desquelles !−−− L'appliance de sécurité accepte les connexions SSH sur !--- toutes les interfaces. ssh outside !−−− Autorise les utilisateurs du host !−−− à accéder à l'appliance de sécurité !−−− sur l'interface inside. ! ssh inside !−−− Fixe la durée d'inactivité de 1 à 60 minutes !−−− (5 minutes par défaut) d'une session SSH, avant !−−− que l'appliance de sécurité ferme la session. ssh timeout 60 console timeout 0 class−map inspection_default match default−inspection−traffic policy−map global_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy global_policy global Cryptochecksum:a6b05fd04f9fbd0a39f1ca7328de91f7 : end Note: Pour accéder à l'interface d'administration du ASA/PIX en utilisant SSH, utilisez cette commande ssh Management. ccnp_cch
8
ccnp_cch Configuration avec ASDM 5.x
Exécutez ces étapes pour configurer l'équipement avec SSH en utilisant l'ASDM. 1. Choisissez Configuration> Properties > Device Administration > User Accounts pour ajouter un utilisateur avec l'ASDM. 2. Choisissez Configuration> Properties > Device Access > AAA Access> Authen- tication pour configurer l'authentification AAA de SSH avec l'ASDM. ccnp_cch
9
3. Choisissez Configuration> Properties > Device Administration > Password pour
changer le mot de passe Telnet avec l'ASDM. ccnp_cch
10
4. Choisissez Configuration> Properties > Certificate > Key Pair puis cliquez sur
Add et utilisez les options par défaut présentées pour générer les clés RSA avec l'ASDM. 5. Choisissez Configuration> Properties > Device Access > Secure Shell pour spécifier les hosts autorisés à se connecter avec SSH et spécifier la version et le timeout. ccnp_cch
11
6. Cliquez sur File> Save Running Configuration to Flash pour sauvegarder la
Configuration avec ASDM 6.x Exécutez ces étapes: 1.Choisissez Configuration > Device Management > Users/AAA > User Accounts pour ajouter un utilisateur avec l'ASDM. ccnp_cch
12
2. Choisissez Configuration > Device Management > Users/AAA > AAA Access >
Authentication pour configurer l'authentification AAA pour SSH. 3. Choisissez Configuration> Device Setup > Device Name/Password pour changer le mot de passe Telnet. ccnp_cch
13
4. Choisissez Configuration > Device Management > Certificate Management >
Identity Certificates, cliquez sur Add et utilisez les options par défaut présentées pour générer les clés RSA. ccnp_cch
14
5. Sous Add a new Identity certificate cliquez sur New pour ajouter une paire de
clés par défaut si aucune n'existe puis cliquez sur Generate Now. 6. Choisissez Configuration > Device Management > Management Access > Com- mand Line (CLI) > Secure Shell (SSH) pour spécifier les hosts autorisés à se con- ccnp_cch
15
ccnp_cch 7. Cliquez sur Save pour sauvegarder la configuration.
8. Quand vous avez la demande de sauvegarde de la configuration dans la flash, cliquez sur Apply pour sauvegarder la configuration. Configuration Telnet Pour ajouter l'accès Telnet à la console et fixer le timeout d'inactivité, entrez la com- mande telnet en mode de configuration global. par défaut, les sessions Telnet qui res- tent inactives pendant cinq minutes sont fermées par l'appliance de sécurité. Pour re- tirer l'accès telnet pour une adresse IP déjà configurée, utilisez la forme no de la com- mande. telnet {{hostname | IP_address mask interface_name} | {IPv6_address interface_name} | {timeout}} no telnet {{hostname | IP_address mask interface_name} | La commande telnet vous permet de spécifier quels hosts peuvent accéder à la console de l'appliance de sécurité avec Telnet. Note: Vous pouvez valider Telnet vers l'appliance de sécurité sur toutes les interfaces. Cependant l'appliance de sécurité impose que tout le trafic Telnet vers l'interface out- side soit protégé par IPSec. Pour valider une session Telnet vers l'interface outside, configurez IPSec sur l'interface outside pour y inclure le trafic qui est généré par l'ap- pliance de sécurité et valider Telnet sur l'interface outside. Note: En général si une interface a le niveau de sécurité 0 ou un niveau inférieur à toute autre interface alors l PIX/ASA n'autorise pas Telnet sur cette interface. Note: Il n'est pas recommandé d'accéder à l'appliance de sécurité par une session Tel- net. l'information d'identité pour l'authentification telle que le mot de passe est trans- mise en clair. La communication entre le client et le serveur se fait en clair. Cisco re- commande l'utilisation de SSH pour des communications sécurisées. Si vous entrez une adresse IP, vous devez également entrer un masque de réseau. Il n'y a pas de masque par défaut. N'utilisez pas le masque du sous-réseau interne. Le masque de réseau est seulement un masque pour l'adresse IP. Pour limiter l'accès à une seule adresse IP, utilisez 255 dans chaque octet ( ). Si IPSec opère, vous pouvez spécifier un nom d'interface non sécurisée qui est typique- ment l'interface externe (outside). Vous devez au minimum entrer la commande crypto map pour spécifier un nom d'interface avec la commande telnet. ccnp_cch
16
Entrez la commande password pour configurer un mot de passe pour l'accès Telnet
avec la console. Par défaut c'est cisco. Entrez la commande who pour afficher l'adres- se qui est en train d'accéder à la console de l'appliance de sécurité. Entrez la comman- de kill pour terminer une session console Telnet. Pour valider une session Telnet sur l'interface interne, revoir ces exemples: Exemple 1 Cet exemple permet uniquement au host d'avoir accès à la console de l'appli- ance de sécurité via Telnet. pix(config)#telnet inside Exemple 2 Cet exemple permet uniquement au réseau /8 d'avoir accès à la console de l'appliance de sécurité via Telnet. pix(config)#telnet inside Exemple 3 Cet exemple permet à tous les réseaux d'avoir accès à la console de l'appliance de sécurité via Telnet. pix(config)#telnet inside Si vous utilisez la commande aaa avec le mot clé console, l'accès à la console Telnet doit être authentifié avec un serveur d'authentification. Note: Si vous avez configuré la commande aaa pour requérir l'accès console Telnet pour l'authentification avec l'appliance de sécurité et que le login console expire, vous pouvez obtenir l'accès à l'appliance de sécurité par la console série. Pour faire cela, entrez le nom d'utilisateur et le mot de passe qui a été configuré avec la commande enable password. Entrez la commande telnet timeout pour fixer le temps maximum pendant lequel une session Telnet peut rester inactive avant d'être fermée par l'appliance de sécurité. Vous ne pouvez pas utiliser no telnet pour la commande telnet timeout. Cet exemple montre comment changer le temps maximum d'inactivité de session. hostname(config)#telnet timeout 10 hostname(config)#show running−config telnet timeout telnet timeout 10 minutes ccnp_cch
17
Vérification ccnp_cch Support de Telnet/SSH dans ACS 4.x
Si vous regardez les fonctions RADIUS, vous pouvez utiliser RADIUS pour la fonction- nalité SSH. Quand une tentative d'accès à l'appliance de sécurité est faite avec Telnet, SSH, HTTP ou la connexion avec la console série et que le trafic correspond à une instruction d'authentification, l'appliance de sécurité demande un nom d'utilisateur et un mot de passe. Elle transmet ensuite ces informations d'identité au serveur RADIUS (ACS) et accorde ou refuse l'accès CLI sur la base de la réponse du serveur. Par exemple, votre appliance de sécurité ASA 7.0 a besoin d'une adresse IP à partir de laquelle l'appliance de sécurité accepte les connexions. hostname(config)#ssh source_IP_address mask source_interface Vérification Utilisez cette section pour confirmer que votre configuration fonctionne correctement. Debug SSH Entrez la commande debug ssh pour activer le debugging de SSH. pix(config)#debug ssh SSH debugging on Cette sortie montre que la requête d'authentification issue du host (outside vers PIX) vers "pix" est réussie. pix# Device ssh opened successfully. SSH0: SSH client: IP = ' ' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string :SSH−1.99−Cisco−1.25 SSH0: receive SSH message: SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for Windows SSH0: begin ser ver key generation SSH0: complete server key generation, elapsed time = 1760 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 ccnp_cch
18
SSH2 0: SSH2_MSG_NEWKEYS sent
SSH2 0: waiting for SSH2_MSG_NEWKEYS SSH2 0: newkeys: mode 0 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication successful for pix !−−− Authentification réussie pour le PIX. SSH2 0: channel open request SSH2 0: pty−req request SSH2 0: requested tty: vt100, height 25, width 80 SSH2 0: shell request SSH2 0: shell message received Si un utilisateur utilise un nom d'utilisateur incorrect, par exemple "pix1" au lieu de "pix", le pare-feu rejette l'authentification. Cette sortie de debug montre une authentifi- cation qui échoue. pix# Device ssh opened successfully. SSH0: SSH client: IP = ' ' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string:SSH−1.99−Cisco−1.25 SSH0: receive SSH message: 83 (83) SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for Windows SSH0: begin server key generation SSH0: complete server key generation, elapsed time = 1960 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix1): user authen method is SSH(pix1): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication failed for pix1 !−−− L'authentification pour pix1 n'a pas réussi. ccnp_cch
19
De manière similaire, si l'utilisateur fournit un mot de passe incorrect, cette sortie de
debug montre que l'authentification échoue. pix# Device ssh opened successfully. SSH0: SSH client: IP = ' ' interface # = 1 SSH: host key initialised SSH0: starting SSH control process SSH0: Exchanging versions − SSH−1.99−Cisco−1.25 SSH0: send SSH message: outdata is NULL server version string: SSH−1.99−Cisco−1.25SSH0: receive SSH message: 83 (83) SSH0: client version is − SSH−1.99−3.2.0 SSH Secure Shell for Windows client version string:SSH−1.99−3.2.0 SSH Secure Shell for WindowsSSH0: begin server key generation SSH0: complete server key generation, elapsed time = 1920 ms SSH2 0: SSH2_MSG_KEXINIT sent SSH2 0: SSH2_MSG_KEXINIT received SSH2: kex: client−>server aes128−cbc hmac−md5 none SSH2: kex: server−>client aes128−cbc hmac−md5 none SSH2 0: expecting SSH2_MSG_KEXDH_INIT SSH2 0: SSH2_MSG_KEXDH_INIT received SSH2 0: signature length 143 SSH2: kex_derive_keys complete SSH2 0: newkeys: mode 1 SSH2 0: SSH2_MSG_NEWKEYS sent SSH2 0: waiting for SSH2_MSG_NEWKEYS SSH2 0: newkeys: mode 0 SSH2 0: SSH2_MSG_NEWKEYS receivedSSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH(pix): user authen method is 'no AAA', aaa server group ID = 0 SSH2 0: authentication failed for pixSSH(pix): user authen method SSH2 0: authentication failed for pix !−−− Authentification du PIX n'a pas réussi. Afficher les sessions SSH actives Entre cette commande pour vérifier que le nombre de sessions SSH qui sont connec- tées et l'état de ces connexions avec le PIX. pix#show ssh session SID Client IP Version Mode Encryption Hmac State Username IN aes128−cbc md5 SessionStarted pix OUT aes128−cbc md5 SessionStarted pix Choisissez Monitoring > Properties > Device Access > Secure Shell Sessions pour afficher les sessions avec l'ASDM. ccnp_cch
20
Résolution de problèmes
Afficher les clés publiques RSA Entrez cette commande pour afficher la clé publique RSA sur l'appliance de sécurité. pix#show crypto key mypubkey rsa Key pair was generated at: 19:36:28 UTC May Key name: <Default−RSA−Key> Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a f7 0d d c172f4 95f66c34 2c2ced37 aa3442d c dd ab 1d7b92d9 5290f695 8e9b5b0d d88c c d8fb951c d6b3f939 99ac f4422 69b67328 f64916b1 82e da2 390fbefd c de61aef1 165c4bab 03d081d5 ddaf15cc c9ddb204 c2b451e0 f19ce0f3 485b1d69 8b Choisissez Configuration > Properties > Certificate > Key Pair, choisissez la paire de clés à afficher et cliquer sur Show Details pour afficher les clés RSA avec l'ASDM. Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Comment retirer la paire de clés RSA du PIX Certaines situations telles que la mise à niveau du logiciel du PIX ou le changement de version de SSH dans le PIX peuvent requérir de retirer et de créer de nouveau les clés RSA. Entrez cette commande pour retirer la paire de clés RSA du PIX. pix(config)#crypto key zeroize rsa Choisissez Configuration > Properties > Certificate > Key Pair puis choisissez la paire de clés à afficher et ensuite cliquez sur Delete pour retirer les clés RSA avec l'ASDM. ccnp_cch
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.