metatoc_4-5

• Étape 1 Se connecter à la console à l'aide d'un émulateur de terminal réglé pour 9600 bauds, 8 bits de données, pas de parité, 1 bit d'arrêt, pas de contrôle de flux.
• Étape 2 Appuyer sur la touche Entrée pour voir l'invite suivante:

hostname>

• Cette invite indique que l'on es en mode EXEC utilisateur. Seules les commandes de base sont disponibles à partir du mode EXEC utilisateur.
• Étape 3 Pour accéder au mode EXEC privilégié, entrer la commande enable L'invite suivante apparaît:

Password:

• Toutes les commandes non configurées sont disponibles en mode d'exécution privilégié. On peut également entrer en mode de configuration à partir du mode d'exécution privilégié.
• Étape 4 Entrer le mot de passe d'activation à l'invite. Par défaut, le mot de passe est vide et on peut appuyer sur la touche Entrée pour continuer. L'invite change comme suit:

hostname#

• Pour quitter le mode privilégié, entrer la commande disable, exit ou quit.
• Étape 5 Pour accéder au mode de configuration globale, entrer la commande suivante configure terminal L'invite change comme suit:

hostname(config)#

• On peut commencer à configurer l'ASA à partir du mode de configuration globale. Pour quitter le mode de configuration globale, entrer la commande exit, quit ou end.

Cette section décrit comment autoriser les clients à accéder à l'ASA en utilisant SSH.

• L'ASA permet un maximum de 5 connexions SSH simultanées par contexte, si disponible, avec un maximum de 100 connexions réparties entre tous les contextes.
• L'ASA prend en charge la fonctionnalité de shell distant SSH fournie dans les versions SSH 1 et 2 et prend en charge les chiffrements DES et 3DES.
• La gestion XML sur SSL et SSH n'est pas prise en charge.
• Le nom d'utilisateur par défaut SSH n'est plus pris en charge. On ne peut plus se connecter à l'ASA en utilisant SSH avec le nom d'utilisateur pix ou asa, il faut donc créer les utilisateurs utilisés en connexion LOCAL.

Pour permettre les connexion à l'ASA en utilisant SSH, effectuer les étapes suivantes:

• Étape 1 Génèrer une paire de clés RSA, qui est requise pour SSH. La valeur du module (en bits) est 512, 768, 1024 ou 2048. Plus la taille du module de clé que l'on spécifie est grande, plus la génération d'une paire de clés RSA est longue: crypto key generate rsa modulus modulus_size
• Étape 2 Enregistrer les clés RSA dans la mémoire flash persistante.write memory
• Étape 3 Activer l'authentification locale pour l'accès SSH. On peut également configurer l'authentification à l'aide d'un serveur AAA. aaa authentication ssh console LOCAL
• Étape 4 Créer un utilisateur dans la base de données locale qui peut être utilisé pour l'accès SSH. username user name password password Par exemple la commande suivante permet de créer l'utilisateur admin avec le privilege maximum: username cisco password cisco123 privilege 15
• Étape 5 Indiquer chaque adresse IP ou sous-réseau qui seront autorisés à se connecter à l'ASA en SSH. Contrairement à Telnet, on peut autoriser SSH sur l'interface de niveau de sécurité le plus bas. ssh source_IP_address mask source_interface (ex. ssh 192.168.3.0 255.255.255.0 inside)
• Étape 6 (Optionnel) Définir la durée pendant laquelle une session SSH peut être inactive avant que l'ASA ne déconnecte la session. Le délai peut être règlé entre 1 et 60 minutes. La valeur par défaut est de 5 minutes. La durée par défaut est trop courte dans la plupart des cas et doit être augmentée jusqu'à ce que tous les tests de pré-production et le dépannage soient terminés.ssh timeout minutes (ex. ssh timeout 30)
• Étape 7 (Optionnel) Limiter l'accès à SSH version 1 ou 2. Par défaut, SSH autorise les versions 1 et 2. ssh version version_number
• Étape 8 Spécifier le groupe Diffie-Hellman utilisé pour l'échange de clé (Diffie-Hellman Group 1 ou Group 14). Diffie-Hellman Group 1 est la valeur par défaut si aucune valeur n'est spécifiée. ssh key-exchange { dh-group1 | dhgroup14 }

L'exemple suivant montre comment générer des clés RSA et permettre d'accéder à l'ASA sur l'interface intérieure avec une adresse de 192.168.1.2

crypto key generate rsa modulus 1024
write memory
aaa authentication ssh console LOCAL
username exampleuser1 password examplepassword1
ssh 192.168.1.2 255.255.255.255 inside
ssh timeout 30 

L'exemple suivant montre comment permettre à tous les utilisateurs du réseau 192.168.3.0 d'accéder à l'ASA sur l'interface intérieure:

ssh 192.168.3.0 255.255.255.0 inside

Les commandes suivantes sont absolument nécessaires afin que l'interface puisse monter:

• nameif «interface name»: attribue un nom à une interface
• adresse IP «ip_address» «subnet_mask»: attribue une adresse IP à l'interface
• security-level «nombre 0 à 100»: attribue un niveau de sécurité à l'interface
• no shutdown: par défaut, toutes les interfaces sont arrêtées.

ciscoasa(config)# interface GigabitEthernet0/1
ciscoasa(config-if)# nameif DMZ
ciscoasa(config-if)# ip address 192.168.1.2 255.255.255.0
ciscoasa(config-if)# security-level 50
ciscoasa(config-if)# no shutdown

dans le mode config taper les commandes suivantes

ciscoasa(config)# config factory-default
ciscoasa(config)# reload save-config noconfirm

On peut repartir avec une configuration pratiquement vierge en effaçant la configuration existante en faisant appel à la commande write erase, qui efface la configuration existante en mémoire flash (startup-config) :

ciscoasa(config)# write erase
Erase configuration in flash memory? [confirm] 
[OK]
ciscoasa(config)# sh conf
No Configuration
ciscoasa(config)#

Il ne reste plus alors qu’à redémarrer l'ASA

Le Firepower 2100 exécute FXOS pour contrôler les opérations de base de l'appareil, et certaines de ces fonctions ne peuvent être configurées qu'en utilisant FXOS.

On peut se connecter à FXOS sur Management 1/1 avec l'adresse IP définie.

Étape 1: Sur l'ordinateur de gestion connecté au Management 1/1, SSH sur l'adresse IP de gestion (par défaut https://192.168.45.45, avec le nom d'utilisateur : admin et le mot de passe : Admin123).

On peut se connecter avec n'importe quel nom d'utilisateur.

Si on a configuré la gestion à distance, on peut se connecter en SSH à l'adresse IP de l'interface de données ASA sur le port 3022 (le port par défaut).

Étape 2: Pour se connecter à l'ASA CLI, utiliser la commande connect asa:

firepower-2110# connect asa
Attaching to Diagnostic CLI ... Press 'Ctrl+a then d' to detach.
Type help or '?' for a list of available commands.
ciscoasa>

Pour revenir au CLI FXOS, entrer Ctrl+a, d.

Étape 3: Pour se connecter au CLI FXOS, utiliser la commande connect fxos: .

ciscoasa# connect fxos
Connecting to fxos.
Connected to fxos. Escape character sequence is 'CTRL-^X'.

FXOS 2.2(2.32) kp2110

firepower-2110 login: admin
Password: Admin123
Last login: Sat Jan 23 16:20:16 UTC 2017 on pts/1
Successful login attempts for user 'admin' : 4
Cisco Firepower Extensible Operating System (FX-OS) Software

[…]

firepower-2110# 
firepower-2110# exit
Remote card closed command session. Press any key to continue.
Connection with fxos terminated.
Type help or '?' for a list of available commands.
ciscoasa#