【Cisco】Firepower(ASA) での Telnet/SSH 管理アクセス設定と注意点

ファイアウォール(UTM)

動作確認環境

  • Firepower 2100 シリーズ
    • ASA OS 9.16.x

Firepower(ASA) での Telnet 接続用設定

Telnet 接続用設定

■認証用ローカルユーザの設定(ローカルユーザ認証にする場合)

Telnet 接続時の認証で使用するローカルユーザの設定です。

  • username <name> password <password>
ciscoasa(config)# username hogeuser password hogepassword

■接続許可クライアント IP の設定

Telnet 接続を許可する接続元クライアント IP の設定です。

  • telnet <source_IP_address> <mask> <source_interface>
    • source_interface には Telnet アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# telnet 10.1.1.0 255.255.255.0 inside

■認証方法としてローカルユーザを使用するための設定(ローカルユーザ認証にする場合)

Telnet 接続をする際の認証方法としてローカルユーザを使用するための設定です。

  • aaa authentication telnet console LOCAL
ciscoasa(config)# aaa authentication telnet console LOCAL

この設定をしていない場合、ローカルユーザで認証しようとしても認証に失敗します。

■Telent 用ログインパスワードの設定(パスワード認証にする場合)

Telent 接続時の認証をパスワードのみにする場合は以下の設定を行います。

  • passwd <パスワード>
ciscoasa(config)# passwd telnetpass

aaa authentication telnet console LOCALpasswd の両方を設定した場合、ローカルユーザ認証が優先されます。

ACL での Telnet 通信許可は不要

Telnet 接続をするために ACL で Telnet 通信を許可するルールの設定は必要ありません。

security-level 0 の IF へは Telnet 接続不可

security-level が 0 のインターフェース宛の Telnet 接続はできません。

※ただし、VPN トンネル内で Telnet を使用する場合を除きます

Firepower(ASA) での SSH 接続用設定

SSH 接続用設定

■SSH に必要な RSA キー ペアの生成

  • crypto key generate rsa modulus <size>
    • size :鍵サイズ。512、768、1024、2048、3072、または 4096。2048 以上が推奨
ciscoasa(config)# crypto key generate rsa modulus 2048

■認証用ローカルユーザの設定

SSH 接続時の認証で使用するローカルユーザの設定です。

  • username <name> password <password>
ciscoasa(config)# username hogeuser password hogepassword

■接続許可クライアント IP の設定

SSH 接続を許可する接続元クライアント IP の設定です。

  • ssh <source_IP_address> <mask> <source_interface>
    • source_interface には SSH アクセスを着信するインターフェースの nameif の名前を指定
ciscoasa(config)# ssh 10.1.1.0 255.255.255.0 inside

■認証方法としてローカルユーザを使用するための設定

SSH 接続をする際の認証方法としてローカルユーザを使用するための設定です。

  • aaa authentication ssh console LOCAL
ciscoasa(config)# aaa authentication ssh console LOCAL

この設定をしていない場合、ローカルユーザで認証しようとしても認証に失敗します。

ACL での SSH 通信許可は不要

SSH 接続をするために ACL で SSH 通信を許可するルールの設定は必要ありません。

事例:SSH 接続時「unknown host KEY type」エラー

クライアントから SSH 接続時に「unknown host KEY type」と表示されて接続できない場合があります。

Firepower(ASA) にて SSH に必要な RSA キーペアが生成されていない場合にこのエラーになります。キーペアを生成していない場合は crypto key generate rsa modulus size コマンドでキーペアを生成します。

参考資料

CLI ブック 1:Cisco ASA シリーズ 9.14 CLI コンフィギュレーション ガイド(一般的な操作) - 管理アクセス [Cisco Secure Firewall ASA]
管理アクセス
CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.16 - Management Access [Cisco Secure Firewall ASA]
ManagementAccess

タイトルとURLをコピーしました