update SSH for Cisco ASA to recent versions
authorRoman Pertl <r.pertl@ixolit.com>
Wed, 22 Aug 2018 10:17:24 +0000 (12:17 +0200)
committerRoman Pertl <r.pertl@ixolit.com>
Wed, 22 Aug 2018 10:17:24 +0000 (12:17 +0200)
src/practical_settings/ssh.tex

index d99075a..682ec39 100644 (file)
@@ -51,7 +51,7 @@ $ ssh -vvv myserver.com
 \subsection{Cisco ASA}
 \subsubsection{Tested with Versions}
 \begin{itemize*}
-  \item 9.1(3)
+  \item 9.8(2)38
 \end{itemize*}
 
 
@@ -60,12 +60,17 @@ $ ssh -vvv myserver.com
 crypto key generate rsa modulus 2048
 ssh version 2
 ssh key-exchange group dh-group14-sha1
+ssh cipher encryption high
+ssh cipher integrity high
+\end{lstlisting}
+Note: When the ASA is configured for SSH, by default both SSH versions 1 and 2 are allowed. In addition to that, only a group1 DH-key-exchange is used. This should be changed to allow only SSH version 2 and to use a key-exchange with group14. The generated RSA key should be 2048 bit (the actual supported maximum). A non-cryptographic best practice is to reconfigure the lines to only allow SSH-logins. Additionally only high secure ciphers are used. All available ciphers can be displayed with the following command
+\begin{lstlisting}
+show ssh ciphers
 \end{lstlisting}
-Note: When the ASA is configured for SSH, by default both SSH versions 1 and 2 are allowed. In addition to that, only a group1 DH-key-exchange is used. This should be changed to allow only SSH version 2 and to use a key-exchange with group14. The generated RSA key should be 2048 bit (the actual supported maximum). A non-cryptographic best practice is to reconfigure the lines to only allow SSH-logins.
 
 \subsubsection{References}
 \begin{itemize*}
-  \item \url{http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/admin\_management.html }
+  \item \url{https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/admin-management.html}
 \end{itemize*}
 
 \subsubsection{How to test}