Merge pull request #146 from roock/ciscoasa98 master github/master
authorSebastian <sebix@sebix.at>
Mon, 27 Sep 2021 06:22:41 +0000 (08:22 +0200)
committerGitHub <noreply@github.com>
Mon, 27 Sep 2021 06:22:41 +0000 (08:22 +0200)
Update Configuration for Cisco ASA

src/practical_settings/ssh.tex
src/practical_settings/vpn.tex

index d99075a..682ec39 100644 (file)
@@ -51,7 +51,7 @@ $ ssh -vvv myserver.com
 \subsection{Cisco ASA}
 \subsubsection{Tested with Versions}
 \begin{itemize*}
-  \item 9.1(3)
+  \item 9.8(2)38
 \end{itemize*}
 
 
@@ -60,12 +60,17 @@ $ ssh -vvv myserver.com
 crypto key generate rsa modulus 2048
 ssh version 2
 ssh key-exchange group dh-group14-sha1
+ssh cipher encryption high
+ssh cipher integrity high
+\end{lstlisting}
+Note: When the ASA is configured for SSH, by default both SSH versions 1 and 2 are allowed. In addition to that, only a group1 DH-key-exchange is used. This should be changed to allow only SSH version 2 and to use a key-exchange with group14. The generated RSA key should be 2048 bit (the actual supported maximum). A non-cryptographic best practice is to reconfigure the lines to only allow SSH-logins. Additionally only high secure ciphers are used. All available ciphers can be displayed with the following command
+\begin{lstlisting}
+show ssh ciphers
 \end{lstlisting}
-Note: When the ASA is configured for SSH, by default both SSH versions 1 and 2 are allowed. In addition to that, only a group1 DH-key-exchange is used. This should be changed to allow only SSH version 2 and to use a key-exchange with group14. The generated RSA key should be 2048 bit (the actual supported maximum). A non-cryptographic best practice is to reconfigure the lines to only allow SSH-logins.
 
 \subsubsection{References}
 \begin{itemize*}
-  \item \url{http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/admin\_management.html }
+  \item \url{https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/general/asa-98-general-config/admin-management.html}
 \end{itemize*}
 
 \subsubsection{How to test}
index 1de3034..d34e6e0 100644 (file)
@@ -339,7 +339,8 @@ The following settings reflect our recommendations as best as possible on the Ci
 
 \subsubsection{Tested with Versions}
 \begin{itemize*}
-  \item 9.1(3) - X-series model
+  \item 9.1(3) - X-series model (IPsec Configuration)
+  \item 9.8(2)38 - X-series model (SSL VPN Configuration)
 \end{itemize*}
 
 \subsubsection{Settings}
@@ -402,9 +403,14 @@ crypto ikev2 policy 4
 crypto ikev2 enable Outside-DMZ client-services port 443
 crypto ikev2 remote-access trustpoint ASDM_TrustPoint0
 
-ssl server-version tlsv1-only
-ssl client-version tlsv1-only
-ssl encryption dhe-aes256-sha1 dhe-aes128-sha1 aes256-sha1 aes128-sha1
+ssl client-version tlvs1
+ssl server-version tlsv1
+ssl cipher default fips
+ssl cipher tlsv1 fips
+ssl cipher tlsv1.1 fips
+ssl cipher tlsv1.2 high
+ssl cipher dtlsv1 fips
+ssl dh-group group24
 ssl trust-point ASDM_TrustPoint0 Outside-DMZ
 \end{lstlisting}
 
@@ -421,6 +427,7 @@ Legacy ASA models (e.g. 5505, 5510, 5520, 5540, 5550) do not offer the possibili
 \begin{itemize*}
   \item \url{http://www.cisco.com/en/US/docs/security/asa/roadmap/asaroadmap.html}
   \item \url{http://www.cisco.com/web/about/security/intelligence/nextgen_crypto.html}
+  \itme \url{https://www.cisco.com/c/en/us/td/docs/security/asa/asa98/configuration/vpn/asa-98-vpn-config/vpn-params.html}
 \end{itemize*}
 
 % add any further references or best practice documents here