Mit den hier gezeigten Schritten besteht die Chance die SSH-Konfiguration an die eigenen Sicherheitsbedürfnisse anzupassen. Die folgenden Werte dürften nach einem Facrory-Reset der ASA aktiv sein.

ASA-Intern# sh ssh
Timeout: 5 minutes
Version allowed: 1
0.0.0.0 0.0.0.0 outside
0.0.0.0 0.0.0.0 outside-1
0.0.0.0 0.0.0.0 mgmt
ASA-Intern#

Mit den nächsten Konfigurationszeilen optimiere ich die bereits aktive Konfiguration und binde die Authentisierung an die lokale Benutzerdatenbank. Denn einen Radius oder Tacacs+ habe ich zur Zeit nicht eingebunden.

ASA-Intern# conf t
ASA-Intern(config)# ssh timeout 10
ASA-Intern(config)# ssh version 2
ASA-Intern(config)# ssh key-exchange group dh-group14-sha1
ASA-Intern(config)# ssh stricthostkeycheck
ASA-Intern(config)# aaa authentication ssh console LOCAL

Nochmal geschaut wie die Konfiguration jetzt aus schaut.

ASA-Intern# sh ssh
Timeout: 10 minutes
Version allowed: 2
0.0.0.0 0.0.0.0 outside
0.0.0.0 0.0.0.0 outside-1
0.0.0.0 0.0.0.0 mgmt

Von Cisco werden die von Cisco gesetzten Defaulteinstellungen versteckt. Aus diesem Grunde muss zusätzlich noch die komplette Konfiguration nach dem Schlüsselwort ssh durchsucht werden.

ASA-Intern# sh run all | i ssh
object service tcp-ssh pre-defined
service tcp destination eq ssh
aaa authentication ssh console LOCAL
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh 0.0.0.0 0.0.0.0 outside-1
ssh 0.0.0.0 0.0.0.0 mgmt
ssh timeout 10
ssh version 2
ssh key-exchange group dh-group14-sha1