[FIREWALL ASA] – BàI 1: Cấu hình cơ bản

23891

Người viết bài : Tuấn
Tham khảo ebook:
[Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition

Sơ đồ:

Mô tả :
Bài lab này sẽ hướng dẫn thực tập một số kỹ năng làm quen với thiết bị firewall asa của cisco. Đầu tiên là chúng ta sẽ tìm hiểu về version của ios. Cấu hình cơ bản như: đặt hostname, cấu hình password, cấu hình ip cho interface trên thiết bị, security-level( cấp độ bảo mật).Cấu hình telnet, ssh cho asa từ xa. Ngoài ra sẽ tiến hành backup ios cho asa, load lại ios khi bị mất, recovery password cho thiết bị firewall asa.

Thực hiện:
Phần 1: kiểm tra Licenses
• Kiểm tra version của thiết bị firewall asa
Kiểm tra:

ciscoasa> show version

Cisco Adaptive Security Appliance Software Version 8.2(2)
Device Manager Version 6.2(5)53

Compiled on Mon 11-Jan-10 14:19 by builders
System image file is "disk0:/asa822-k8.bin"
Config file at boot was "startup-config"

ciscoasa up 49 mins 43 secs

Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB

Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
                  Boot microcode : CN1000-MC-BOOT-2.00
                  SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
                  IPSec microcode : CNlite-MC-IPSECm-MAIN-2.04
 0: Ext: GigabitEthernet0/0 : address is 0023.5e56.69f8, irq 9
 1: Ext: GigabitEthernet0/1 : address is 0023.5e56.69f9, irq 9
 2: Ext: GigabitEthernet0/2 : address is 0023.5e56.69fa, irq 9
 3: Ext: GigabitEthernet0/3 : address is 0023.5e56.69fb, irq 9
 4: Ext: Management0/0 : address is 0023.5e56.69f7, irq 11
 5: Int: Not used : irq 11
 6: Int: Not used : irq 5

Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 150
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
SSL VPN Peers : 2
Total VPN Peers : 750
Shared License : Disabled
AnyConnect for Mobile : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials : Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions : 2
Total UC Proxy Sessions : 2
Botnet Traffic Filter : Disabled

This platform has an ASA 5520 VPN Plus license.

Serial Number: JMX1251L0HW
Running Activation Key: 0x8b3be054 0x00f7debf 0xa493250c 0x93f8e088 0x430f0096
Configuration register is 0x1
Configuration last modified by enable_15 at 19:43:37.339 UTC Mon Jul 21 2014

Qua command show version, chúng ta đã thấy được các thông tin về thiết bị asa, bao gồm : ios của asa, hardware asa, các interface vật lí của asa, các đặc điểm đã được active bởi license key, ngày giờ chỉnh sửa cuối cùng của file cấu hình.

[nextpage title=”Cấu hình cơ bản”]

Phần 2: Cấu hình cơ bản
• Đặt hostname cho asa là ASA.
• Cấu hình password cho asa.
• Cấu hình enable interface, cấu hình IP cho interface, name cho interface.
• Cấu hình security-level trên interface.

Cấu hình:
Đầu tiên, ta đặt hostname cho thiết bị:

ciscoasa# configure terminal
ciscoasa(config)# hostname ASA

Trên Cisco ASA, câu lệnh “hostname” được sử dụng để đặt tên cho asa. Tên của asa sẽ giúp cho công việc quản lý asa được dễ dàng hơn và hiệu quả hơn.
Để cấu hình password cho asa, chúng ta dùng command:

ASA# configure terminal
ASA(config)# enable password ciscoasa // mật khẩu do ta thiết lập

Sử dụng lệnh enable password để thiết lập mật khẩu truy cập cho Privilege mode. Điều này thực sự rất quan trọng vì trong Privilege mode, bạn có thể tạo ra nhiều thay đổi cấu hình của asa nên bạn cần giới hạn chỉ để những người biết được mật khẩu mới có thể đăng nhập vào ASA để cấu hình cho thiết bị.
Tiếp theo, ta sẽ enable interface, ta thực hiện như sau:

ASA# configure terminal
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# no shutdown

Đối với các dòng ASA 5505 và ASA 5510 thì sẽ có 4 cổng fastEthernet (Ethernet0/0 – Ethernet0/3) và một interface quản lí ( management interface): Management0/0.

Trong khi đó đối với các dòng ASA 5520 và ASA 5540 sẽ có 4 cổng Gigabit Ethernet (GigabitEthernet0/0–GigabitEthernet0/3) và một interface quản lí (management interface (Management0/0)).Mặc định các interface sẽ ở trạng thái shutdown, để enable các interface chúng ta sẽ sử dụng lên no shutdown.

Để đặt IP, ta vào trong cổng G0/0 và cấu hình địa chỉ ip là 192.168.1.1/24, ta làm như sau:

ASA# configure terminal
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# ip address 192.168.1.1 255.255.255.0

Địa chỉ IP trên cổng giúp router giao tiếp mạng với các thiết bị khác bằng giao thức truyền tải IP.
Nếu IP trên cổng được cấp bởi 1 dhcp server thì ta có thể làm như sau:

ASA# configure terminal
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# ip address dhcp setroute

Câu lệnh “ip address dhcp setroute” sẽ giúp chúng ta nhận được ip từ dhcp server.
Để cấu hình tên cho cổng, chúng ta sẽ dùng lệnh:

ASA# configure terminal
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# nameif outside

Câu lệnh “nameif” dùng để đặt tên cho interface, tên của interface sẽ dùng để cấu hình các đặc tinh sau này như NAT, PAT, access-list, …..
Tiếp theo chúng ta sẽ cấu hình cấp độ bảo mật ( security-level) cho các interface, ta thực hiện như sau:

ASA# configure terminal
ASA(config)# interface GigabitEthernet0/0
ASA(config-if)# security-level 50

ASA cho phép chúng ta đinh nghĩa cấp độ bảo mật trên mỗi interface. Cấp độ bảo mật càng cao, thì độ tin cậy càng lớn và ngược lại. Cấp độ bảo mật có giá trị từ 0 – 100. Mặc định thì vùng outside (vùng nối với nơi ít tin cậy như internet,..) sẽ có security-level là 0 và ngược lại những vùng inside (mạng nội bộ) sẽ có cấp độ bảo mật cao nhất là 100.
Kiểm tra:
Ta kiểm tra địa chỉ IP trên cổng bằng cách sử dụng lệnh “show interface ip brief“.

ASA# show interface ip brief
Interface IP-Address OK? Method Status Protocol
GigabitEthernet0/0 192.168.1.1 YES manual up up
GigabitEthernet0/1 unassigned YES unset administratively down down
GigabitEthernet0/2 unassigned YES unset administratively down down
GigabitEthernet0/3 unassigned YES unset administratively down down
Management0/0 unassigned YES unset administratively down down

Để kiểm tra 1 interface cụ thể, ta sử dụng lệnh “show interface GigabitEthernet0/0” .

ASA# show interface GigabitEthernet0/0
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
Hardware is i82546GB rev03, BW 1000 Mbps
Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
MAC address 0013.c480.90ee, MTU 1500
IP address 192.168.1.1, subnet mask 255.255.255.0
79855 packets input, 6345439 bytes, 0 no buffer
Received 79692 broadcasts, 0 runts, 0 giants
0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
75 packets output, 7806 bytes, 0 underruns
0 output errors, 0 collisions
0 late collisions, 0 deferred
input queue (curr/max blocks): hardware (0/5) software (0/0)
output queue (curr/max blocks): hardware (0/1) software (0/0)
Received 79220 VLAN untagged packets, 4869649 bytes
Transmitted 75 VLAN untagged packets, 6420 bytes
Dropped 14202 VLAN untagged packets

Kiểm tra:
Chúng ta sẽ tiến hành kiểm tra kết nối giữa firewall asa và máy tinh bằng lệnh “ping” .

[nextpage title=”Recovery ios”]

Phần 3: Recovery ios khi asa bị mất cấu hình .
Khi bị mất ios hoặc do một tình huống nào khác mà không thể load vào được ios của asa thì chúng ta có thể dùng ROMMON mode kết hợp với tftp server để load ios cho firewall asa.
• Yêu cầu 1: đặt địa chỉ IP cho asa và tftp server.
• Yêu cầu 2: cài đặt cổng kết nối tới tftp server.
• Yêu cầu 3: chuẩn bị file image sẽ được load vào asa.

Cấu hình:
Đầu tiên chúng ta sẽ vào mode ROMMON và cấu hình các thông số trong cisco asa.

rommon> ADDRESS 192.168.1.1
Invalid or incorrect command. Use 'help' for help.
rommon> address 192.168.1.1
rommon> server 192.168.1.2
rommon> interface g0/1
GigabitEthernet0/1
Link is UP
MAC Address: 0023.5e56.69f9

rommon> file asa822-k8.bin

Để kiểm tra các lệnh đã cấu hình phái trên, chúng ta dùng lệnh “set” và để bắt đầu tiến trình load ios vào asa thì ta dùng lệnh “tftpnld” .

rommon> set
ROMMON Variable Settings:
ADDRESS=192.168.1.1
SERVER=192.168.1.2
GATEWAY=0.0.0.0
PORT=GigabitEthernet0/1
VLAN=untagged
IMAGE=asa822-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

rommon> tftpdnld
ROMMON Variable Settings:
ADDRESS=192.168.1.1
SERVER=192.168.1.2
GATEWAY=0.0.0.0
PORT=GigabitEthernet0/1
VLAN=untagged
IMAGE=asa822-k8.bin
CONFIG=
LINKTIMEOUT=20
PKTTIMEOUT=4
RETRY=20

tftp asa822-k8.bin@192.168.1.2
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Received 16459776 bytes

Lưu ý: Lúc này image vẫn chưa được lưu vào flash, để tiến hành kiểm tra, ta dùng lệnh “show flash” .

ciscoasa# show flash:
--#-- --length-- -----date/time------ path
2 4096 Jul 23 2014 21:10:53 log
9 4096 Jul 23 2014 21:11:01 crypto_archive
11 4096 Jul 23 2014 21:11:04 coredumpinfo
12 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg
255582208 bytes total (255537152 bytes free)

Để file image được lưu vào trong flash, chúng ta hãy qua bước số 4, image upgrade ios.

[nextpage title=”Cập nhật Image & Recovery Password”]Phần 4: Cập nhật image cho thiết bị firewall asa
Chúng ta có thể có nhiều cách cập nhật file image mới cho firewall asa thông qua tftp server, ftp server hoặc http … Nhưng ở đây chúng ta sẽ tìm hiểu cách thức cập nhật thông qua tftp server.
• Yêu cầu 1: chuẩn bị image cho tftp server.
• Yêu cầu 2: kiểm tra kết nối giữa cisco asa và tftp server.

Cấu hình:
Đầu tiên chúng ta sẽ kiểm tra flash hiện thời có các file nào và dung lượng còn bao nhiêu thông qua command “show flash”.

ciscoasa# show flash:
--#-- --length-- -----date/time------ path
2 4096 Jul 23 2014 21:10:53 log
9 4096 Jul 23 2014 21:11:01 crypto_archive
11 4096 Jul 23 2014 21:11:04 coredumpinfo
12 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg
255582208 bytes total (255537152 bytes free)

Sau kiểm tra flash, chúng ta sẽ tiếp tục tiến hành load image vào thiết bị firewall asa thông qua tftp server.

ciscoasa# copy tftp: flash:
Address or name of remote host []? 192.168.1.2
Source filename []?asa822-k8.bin
Destination filename []? asa822-k8.bin
Accessingtftp://192.168.1.2//asa822-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
Writing file disk0:/asa822-k8.bin...
!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!
16459776 bytes copied in 20.70 secs (822988 bytes/sec)

Kiểm tra:
Để kiểm tra file image đã được load vào flash chưa, chúng ta sẽ thực hiện command “show flash: “

ciscoasa# show flash:
--#-- --length-- -----date/time------ path
2 4096 Jul 23 2014 21:10:52 log
9 4096 Jul 23 2014 21:11:00 crypto_archive
10 4096 Jul 23 2014 21:11:04 coredumpinfo
11 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg
49 16459776 Jul 23 2014 21:17:34 asa822-k8.bin
255582208 bytes total (226881536 bytes free)

Phần 5: Recovery password
Yêu cầu 1: thiết lập kết nối với asa bằng console
Yêu cầu 2: reload asa
– Tiến hành tắt firewall asa và mở lại.
Yêu cầu 3: break vào mode rommon của asa
– Khi asa reboot trở lại, các thông điệp sẽ lần lượt xuất hiện trên màn hình, ta sẽ ấn ESC khi thấy xuất hiện dòng “Use BREAK or ESC to interrupt boot”.
Yêu cầu 4: thay đổi cấu hình trên thanh ghi tại mode rommon.
Yêu cầu 5: Sau khi đã set up xong các cấu hình thanh ghi, chúng ta sẽ boot lại asa.
Yêu cầu 6: Truy cập vào priviledge mode và set up lại password, lúc này password đã trở về mặc định ban đầu.
Yêu cầu 7: load các cấu hình đã lưu trong file startup-config ( nếu có).
Yêu cầu 8: tiến hành cài đặt lại password mới.
Yêu cầu 9: restore lại giá trị thanh ghi ban đầu.
Yêu cầu 10: lưu tất cả cấu hình ở file running-config vào file startup-config.

Cấu hình:
Đầu tiên chúng ta sẽ tắt nguồn và bật lại cho firewall cisco asa, sau khi xuất hiện dòng chữ “Use BREAK or ESC to interrupt boot” chúng ta sẽ nhấn ESC để vào mode ROMMON để cấu hình các bước tiếp theo .

Booting system, please wait...

CISCO SYSTEMS
Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82

Low Memory: 631 KB
High Memory: 512 MB
PCI Device Table.
Bus Dev Func VendID DevID Class Irq
00 00 00 8086 2578 Host Bridge
00 01 00 8086 2579 PCI-to-PCI Bridge
00 03 00 8086 257B PCI-to-PCI Bridge
00 1C 00 8086 25AE PCI-to-PCI Bridge
00 1D 00 8086 25A9 Serial Bus 11
00 1D 01 8086 25AA Serial Bus 10
00 1D 04 8086 25AB System
00 1D 05 8086 25AC IRQ Controller
00 1D 07 8086 25AD Serial Bus 9
00 1E 00 8086 244E PCI-to-PCI Bridge
00 1F 00 8086 25A1 ISA Bridge
00 1F 02 8086 25A3 IDE Controller 11
00 1F 03 8086 25A4 Serial Bus 5
00 1F 05 8086 25A6 Audio 5
02 01 00 8086 1075 Ethernet 11
03 01 00 177D 0003 Encrypt/Decrypt 9
03 02 00 8086 1079 Ethernet 9
03 02 01 8086 1079 Ethernet 9
03 03 00 8086 1079 Ethernet 9
03 03 01 8086 1079 Ethernet 9
04 02 00 8086 1209 Ethernet 11
04 03 00 8086 1209 Ethernet 5

Evaluating BIOS Options ...
Invalid Key: 001B

Launch BIOS Extension to setup ROMMON
Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008
Platform ASA5520

Use BREAK or ESC to interrupt boot.
Use SPACE to begin boot immediately.
Boot interrupted.

Management0/0
Ethernet auto negotiation timed out.
Interface-4 Link Not Established (check cable).

Default Interface number-4 Not Up

Use ? for help.
rommon>

Chúng ta sẽ sử dụng câu lệnh “confreg” để cấu hình các giá trị của thanh ghi(register) và một số options khác .

rommon> confreg
Current Configuration Register: 0x00000001
Configuration Summary:
boot default image from Flash
Do you wish to change this configuration? y/n [n]: y
enable boot to ROMMON prompt? y/n [n]:
enable TFTP netboot? y/n [n]:
enable Flash boot? y/n [n]:
select specific Flash image index? y/n [n]:
disable system configuration? y/n [n]: y
go to ROMMON prompt if netboot fails? y/n [n]:
enable passing NVRAM file specs in auto-boot mode? y/n [n]:
disable display of BREAK or ESC key prompt during auto-boot? y/n [n]:
Current Configuration Register: 0x00000040
Configuration Summary:
boot ROMMON
ignore system configuration
Update Config Register (0x40) in NVRAM...

Ngoại trừ disable system configuration, các giá trị còn lại chúng ta sẽ để mặc định. Hãy ghi nhớ lại giá trị cấu hình của thanh ghi để phục vụ cho việc restore.

rommon> boot
Launching BootLoader...
Default configuration file contains 1 entry.
Searching / for images to boot.
Loading /asa822-k8.bin... Booting...
Platform ASA5520
Loading...
Thực hiện khởi động lại cho asa bằng command “boot”
ciscoasa>
ciscoasa> enable
Password:
ciscoasa#

Truy cập vào mode priviledge của asa và thiết lập lại password, với password mặc định.

ciscoasa# copy startup-config running-config
Destination filename [running-config]?
Cryptochecksum(unchanged): 3a3748e9 43700f38 7712cc11 2c6de52b
2204 bytes copied in 0.60 secs
ASA#

Copy các cấu hình trong file startup-config vào file running-config.

ASA# config terminal
ASA(config)# enable password cisco123

Cài đặt lại password mới cho asa.

ASA(config)# config-register 0x11

Cấu hình restore lại thanh ghi ban đầu.

ASA(config)# copy running-config startup-config
Source filename [running-config]?
Cryptochecksum: 6167413a 17ad1a46 b961fb7b 5b68dd2b
2204 bytes copied in 3.270 secs (368 bytes/sec)

Lưu tất cả những gì đã cấu hình nãy giờ vào file startup-config.

[nextpage title=”Cấu hình Telnet & SSH”]

Phần 6 : Cấu hình telnet
Yêu cầu 1: các máy telnet tới asa phải nằm trong miền inside hoặc dmz, nếu các máy ở vùng outside muốn telnet vào asa thì phải có hỗ trợ ipsec tunnel.
Yêu cầu 2: đặt password telnet cho asa.
Yêu cầu 3: các máy telnet vào asa phải có hỗ trợ giao thức telnet hoặc sử dụng chương trình hỗ trợ telnet để thực hiện telnet vào asa.

Cấu hình:
Đầu tiên chúng ta sẽ cài đặt telnet cho firewall asa.

ASA# configure terminal
ASA(config)# telnet 192.168.1.0 255.255.255.0 inside

Telnet là một chương trình cho phép ta kế nối và đăng nhập vào một máy tinh từ xa(trong LAN, internet). Khi kết nối thành công, máy tinh của ta sẽ thực hiện chức năng như trạm trung gian để gửi yêu cầu đến các máy tính đầu xa. Ta có thể truy cập thông tin, thực thi chương trình và sử dụng một số tài nguyên khác ở máy tinh từ xa.

Cấu trúc của lệnh telnet:
telnet {{IP_address mask} | ipv6_address/prefix} interface}

Với IP_address mask sẽ là địa chỉ ip và subnet mask của máy (hoặc các máy) thuộc cùng một interface sẽ được phép telnet tới asa. Timeout là số phút tối đa cho 1 phiên telnet ở trạng thái idle ( timeout có giá trị từ 1 – 1440 phút).
Tiếp theo chúng ta sẽ cấu hình password cho telnet:

ASA# configure terminal
ASA(config)# passwd cisco123 //password cho telnet

Cấu hình password để tăng cường tinh bảo mật cho 1 phiên (session) telnet. Tuy nhiên, khác với ssh, password của telnet sẽ không được mã hóa(encrypted) khi đi trên đường truyền.

Kiểm tra:
Để kiểm tra các máy tinh nào đang thực hiện telnet vào máy tinh, chúng ta dùng lệnh “who”.

ASA# who
0: 192.168.1.2

Output là các máy hiện đang kết nối, “0” là session id và 192.168.1.2 là ip của thiết bị đang kết nối tới asa.
Để ngắt kết nối 1 phiên telnet ngày lập tức, chúng ta có thể dùng command “kill”.

ASA# kill 0

Lệnh “kill ” sẽ disconnect 1 session telnet tới asa ngay lập tức.

Bước 7: Cấu hình SSH
Yêu cầu 1: tạo ra rsa key cho thiết bị asa.
Yêu cầu 2: các máy ssh tới asa phải cài đặt chương trình hỗ trợ ssh.

Cấu hình:
Đầu tiên chúng ta sẽ tạo ra rsa key cho asa:

ASA(config)# crypto key generate rsa
INFO: The name for the keys will be: 
Keypair generation process begin. Please wait...

SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền.
Tiếp theo chúng ta sẽ kiểm tra key rsa được sinh ra:

ciscoasa(config)# show crypto key mypubkey rsa
Key pair was generated at: 20:00:00 UTC Jul 21 2014
Key name: 
Usage: General Purpose Key
Modulus Size (bits): 1024
Key Data:
30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00bd10f5
54f29f12 8e1c17f1 c4c0208d 32aaf722 ae39191c 741eba76 2960c3e7 07753153
d19d7638 711c2c73 d4bef956 98cc0d0e b26bb04b 5afc1de6 8b0904d4 05f0df65
6cd3b63b 11193963 e5e745e2 ff6650e4 54695554 c424af75 829f1470 e2566657
8aab0ebd ff81fd66 d2bd0d97 33a3c79b b6015bc3 ef57e71d 73d1ac73 19020301 0001

Tương tự như telnet ở trên, chúng ta sẽ cấu hình các máy nào sẽ được ssh vào asa.

ASA(config)# ssh 192.168.1.0 255.255.255.0 inside

Vì 1 phiên ssh được mã hóa, nên ipsec tunnel không cần phải thiết lập đối với các interface outside, nên các user thuộc interface outside vẫn có thể ssh tới asa bình thường.

Lưu ý: mặc định nếu không có hệ thống AAA thì username là pix và password là password được cài đặt bằng command “passwd”.

Cấu hình version cho ssh, chúng ta làm như sau:

ASA(config)# ssh version 2

Ssh có 2 version là version 1 và version 2. ASA support cho cả 2 version 1, và 2. Nhưng chúng ta nên sử dụng version 2 vì có tinh bảo mật cao hơn và mã hóa mạnh hơn.
Kiểm tra:
Để kiểm tra các session của ssh , chúng ta dùng lệnh “show ssh sessions” .

ASA(config)# show ssh sessions
SID Client IP Version Mode Encryption Hmac State Username
  0 192.168.1.2 2.0 IN aes256-cbc sha1 SessionStarted pix
  OUT aes256-cbc sha1 SessionStarted pix

Để ngắt kết nối với một session đang ssh, chúng ta dùng lệnh “ssh disconnect ”.

ASA# ssh disconnect 0

Xin kết thúc bài hướng dẫn tại đây. Chúc các bạn thành công !

Previous articleThay đổi mật khẩu user trong MySQL Server
Next article[Syslog] Phần 1 : Các khái niệm về Log trong Linux
"Networking luôn có sức hấp dẫn và những điều mới mẻ riêng. Hãy cùng tôi chia sẻ những điều ấy" - Email: tuanmmt@gmail.com - Skype: tuanmmt . (Cộng Tác Viên mảng - Networking)

2 COMMENTS

  1. Hi Anh Tuấn

    Cảm ơn Anh về bài viết rất chi tiết cho anh/em mới bước vào tìm hiểu về ASA.

    Chúc Anh sức khỏe và mọi điều tốt đẹp nhất.

    Anh cũng đường quên up những bài mới nhé 🙂

  2. Mỗi bài viết của bạn khá là cơ bản rất thích hợp cho những người mới như tôi, tôi đều có thể kết hợp giữa tài liệu tiếng anh, chỗ nào không hiểu mình đều xem lại bài viết của bạn.
    Cảm ơn bạn đã chia sẻ

LEAVE A REPLY

Please enter your comment!
Please enter your name here