ASA(Cisco)にSSH接続するための設定について説明します。
目次
ネットワーク構成
下記の構成をCMLで構築します。
各機器の基本設定
ASA1の設定
Router1の設定
Server1の設定
ASAのSSHサーバー設定
ASAをSSHサーバーとして動作させる設定を行います。
ログイン認証のためのユーザー名とパスワードを設定します。
username cisco password cisco
SSH接続時にローカル認証を利用するための設定を行います。
aaa authentication ssh console LOCAL
SSH接続を許可するセグメント(orホストアドレス)を指定します。
ssh 192.168.0.0 255.255.255.0 inside
ssh 172.16.0.0 255.255.255.0 inside
SSHの暗号鍵を生成します。ここでは、2048ビットを指定しています。
crypto key generate rsa general-keys modulus 2048
ASA1(config)# crypto key generate rsa general-keys modulus 2048
WARNING: You have a RSA keypair already defined named <Default-RSA-Key>.
Do you really want to replace them? [yes/no]: yes
Keypair generation process begin. Please wait...
SSH接続確認
サーバーからのSSH接続
Sever1からSSH接続を行います。
Server1
ssh -l cisco 192.168.0.253
cisco@Server:~$ ssh -l cisco 192.168.0.253
The authenticity of host '192.168.0.253 (192.168.0.253)' can't be established.
RSA key fingerprint is SHA256:*******************************************.
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.0.253' (RSA) to the list of known hosts.
cisco@192.168.0.253's password:
User cisco logged in to ASA1
Logins over the last 1 days: 1.
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
ASA1>
鍵交換アルゴリズムの不一致によるエラー
CiscoルーターからのSSH接続
Router1からSSH接続すると、ログインエラーとなり、下記のログが表示されます。
Router1
ssh -l cisco 192.168.0.253
Router1#ssh -l cisco 192.168.0.253
[Connection to 192.168.0.253 aborted: error status 0]
Router1#
*Jan 1 23:46:09.623: %SSH-3-NO_MATCH: No matching kex algorithm found: client diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1 server diffie-hellman-group14-sha256
Router1とASA1で利用可能な鍵交換アルゴリズムが不一致となっている旨のログとなります。
スクロールできます
ホスト名 | 利用可能な鍵交換アルゴリズム |
---|---|
Router1(SSHクライアント) | diffie-hellman-group-exchange-sha1 diffie-hellman-group14-sha1 |
ASA1(SSHサーバー) | diffie-hellman-group14-sha256 |
ASA1の設定を確認すると、”ssh key-exchange group”コマンドで指定されていることがわかります。
show run | inc ssh key-exchange
ASA1# show run | inc ssh key-exchange
ssh key-exchange group dh-group14-sha256
対処方法
ASAで設定可能なアルゴリズムを確認します。
ASA1
ssh key-exchange group ?
ASA1(config)# ssh key-exchange group ?
configure mode commands/options:
dh-group1-sha1 Diffie-Hellman group 2 (DEPRECATED)
dh-group14-sha1 Diffie-Hellman group-14-sha1
dh-group14-sha256 Diffie-Hellman group-14-sha256
ASAの設定を変更します。
ASA1
ssh key-exchange group dh-group14-sha1
Router1から接続可能となったことを確認します。
Router1
ssh -l cisco 192.168.0.253
Router1#ssh -l cisco 192.168.0.253
Password:
User cisco logged in to ASA1
Logins over the last 1 days: 5. Last login: 00:55:31 UTC Jan 2 2022 from 172.16.0.1
Failed logins since the last login: 0.
Type help or '?' for a list of available commands.
ASA1>
以上で、Cisco機器のSSH設定 – ASAの説明は完了です!