自适应安全设备 (ASA) 上的 TELNET 和 SSH
先决条件 - 自适应安全设备 (ASA)
用户可以通过控制台或使用 telnet 或 SSH 远程访问对设备进行管理访问。同样,ASA(自适应安全设备)CLI 访问可以通过控制台或使用 Telnet 或 SSH 进行,并且 GUI 访问可以通过(ASDM-a 工具)进行。
1. ASA 上的 Telnet:
Telnet 是使用 TCP 端口号 23 的应用层协议。它用于远程访问设备,但由于安全性较低,因此使用较少。客户端和服务器之间交换的数据包是明文的。
如果我们想在 ASA 上配置 Telnet,必须遵循 3 个步骤。
- 启用 Telnet 服务 –
默认情况下,登录密码在 ASA 上配置为“cisco”。如果我们想更改它,请使用命令。
asa(config)#password GeeksforGeeks
或者通过使用命令
asa(config)#passwd GeeksforGeeks
GeeksforGeeks 是我们设置的密码。
- 分配可以发起 Telnet 连接的 IP 地址 –
在路由器中,如果我们启用了 telnet 服务并且没有应用任何 ACL,则任何 IP 地址都可以与路由器建立 telnet 连接,但在 ASA 中,我们必须分配可以使用 ASA 的 telnet 服务的 IP 地址。
可以通过以下命令完成:
asa(config)#telnet {source_IP_address} {subnet_ask} {source_interface}
在这里,我们必须首先提到 ASA 可以接受 telnet 连接的 {source_IP_address}。当然,它可以是一个 IP 地址,也可以是整个网络。然后是 {source_IP_address} 的子网掩码。然后,我们不得不提到{source_interface}。它是 ASA 的接口,ASA 将通过该接口期待 telnet 连接。
- 设置远程登录超时 -
这是 ASA 终止会话之前 telnet 会话可以空闲的时间。它的范围可以从 1 到 2440 分钟。默认超时为 5 分钟。
用于它的命令是:
asa(config)#telnet timeout {minutes}
限制——
配置了多个接口的 ASA 不允许从安全级别最低的接口进行 telnet。
配置示例 –
这是一个小型拓扑,其中三个路由器,即 Router1(IP 地址-10.1.1.1/24)、Router2(IP 地址-10.1.2.1/24)、Router3(IP 地址-10.1.3.1/24)连接到 ASA (INSIDE 接口上的 IP 地址 10.1.1.2/24 和安全级别 – 100,OUTSIDE 接口上的 IP 地址 10.1.2.2/24 和安全级别 – DMZ 上的 0,10.1.3.2/24 和安全级别 – 50)。
在此任务中,我们将分别允许来自 Router1 (10.1.1.1/24)、Router2 (10.1.2.1/24) 和 Router3 (10.1.3.1/24) 的所有接口(INSIDE、OUTSIDE、DMZ)上的 telnet。
假设已在所有路由器和 ASA 上完成 IP 寻址。现在,为 ASA 上的所有路由器 IP 地址启用 telnet,并以 GeeksforGeeks 的形式提供密码。
asa(config)#password GeeksforGeeks
asa(config)#telnet 10.1.1.1 255.255.255.255 INSIDE
asa(config)#telnet timeout 10
asa(config)#telnet 10.1.2.1 255.255.255.255 OUTSIDE
asa(config)#telnet timeout 10
asa(config)#telnet 10.1.3.1 255.255.255.255 DMZ
asa(config)#telnet timeout 10
并使用命令远程登录 ASA
Router#telnet {ASA_interface_IP_address}
例子 -
Router1#telnet 10.1.1.2
同样,在Router2 和Router3 上。
现在,在这种情况下,Router1 和 Router3 将能够远程登录 ASA,但 Router2 将无法远程登录,因为 ASA 接口 (OUTSIDE) 的安全级别最低。
笔记 -
如果我们想使用 ASA 的本地数据库,那么首先我们必须通过命令创建一个本地数据库。
asa(config)#username Cisco password GeeksforGeeks
然后通过命令强制 ASA 使用本地数据库登录。
asa(config)#aaa authentication telnet console LOCAL
请注意,LOCAL 区分大小写。
2. ASA 上的 SSH:
SSH 是一种应用层协议,用于远程访问设备。它使用 TCP 端口号 22,并且比 Telnet 更安全,因为它的数据包是加密的。
SSH 的配置方式也与 telnet 相同,但命令不同。
要在 ASA 上启用 SSH,有 2 个步骤:
- 启用 SSH 服务 –
要在 ASA 上启用 SSH,首先通过命令生成加密密钥。
asa(config)#crypto key generate rsa modulus {modulus_value}
生成加密密钥后,通过命令在 ASA 上创建本地数据库。
asa(config)#username cisco password GeeksforGeeks
其中 cisco 是用户名,密码是 GeeksforGeeks。
- 告诉可以在 ASA 上访问 ssh 的设备的 IP 地址 –
就像在 Telnet 中一样,我们必须允许一些允许通过 ssh 访问 ASA 的 IP 地址。可以通过命令完成:-
asa(config)#ssh {source_IP_address} {subnet_ask} {source_interface}
在这里,我们必须首先提到 ASA 可以接受 ssh 连接的 {source_IP_address}。然后是 {source_IP_address} 的子网掩码。然后,我们不得不提到{source_interface}。它是 ASA 的接口,ASA 将通过该接口接收 ssh 流量。
- 设置 SSH 超时 –
这是 ssh 会话在 ASA 终止会话之前可以空闲的时间。它的范围可以从 1 到 2440 分钟。默认超时为 5 分钟。
用于它的命令是:
asa(config)#ssh timeout {minutes}
如果我们想使用本地数据库进行 ssh 登录,请使用命令
asa(config)#aaa authentication ssh console LOCAL
配置示例 –
使用相同的拓扑结构,其中三个路由器即Router1(IP地址-10.1.1.1/24)、Router2(IP地址-10.1.2.1/24)、Router3(IP地址-10.1.3.1/24)连接到ASA(IP INSIDE 接口上的地址 10.1.1.2/24 和安全级别 – 100,OUTSIDE 接口上的 IP 地址 10.1.2.2/24 和安全级别 – DMZ 上的 0,10.1.3.2/24 和安全级别 – 50)。
在此任务中,我们将分别允许来自 Router1 (10.1.1.1/24) 和 Router3 (10.1.3.1/24) 的所有接口(INSIDE、DMZ)上的 ssh。
假设已在所有路由器和 ASA 上完成 IP 寻址。现在,为 ASA 上的所有路由器 IP 地址启用 ssh,并将用户名设置为 Saurabh,密码设置为 GeeksforGeeks。
asa(config)#crypto key generate rsa modulus 1024
asa(config)#username saurabh password GeeksforGeeks
asa(config)#aaa authentication ssh console LOCAL
asa(config)#ssh 10.1.1.1 255.255.255.255 INSIDE
asa(config)#ssh timeout 10
asa(config)#ssh 10.1.3.1 255.255.255.255 DMZ
asa(config)#telnet timeout 10
通过使用命令从 Router1 和 SSH、ASA。
Router1#ssh -l saurabh 10.1.1.2
通过使用命令从 Router2 SSH、ASA。
Router3#ssh -l saurabh 10.1.3.2
两者都将能够 ssh ASA,并且 ASA 没有像使用 telnet 那样的限制。