added Cisco ASA and IOS SSH section written by kasten iwen. thanks!
authorAaron Zauner <azet@azet.org>
Tue, 17 Dec 2013 15:42:50 +0000 (16:42 +0100)
committerAaron Zauner <azet@azet.org>
Tue, 17 Dec 2013 15:42:50 +0000 (16:42 +0100)
src/practical_settings/ssh.tex

index b886f25..d00ae79 100644 (file)
@@ -1,4 +1,4 @@
-\subsubsection{OpenSSH}
+\subsection{OpenSSH}
 
 
 \begin{description}
@@ -37,12 +37,12 @@ algorithms and MACs.
 
 Note that the setting \texttt{ServerKeyBits 4096}  has no effect until you re-generate new ssh host keys. There might be issues if you have users which rely on the fingerprint of the old ssh host key being stored in their clients' \texttt{.ssh/known\_hosts} file.
 
-\item[References:] The openssh sshd\_config  man page is the best reference: \url{http://www.openssh.org/cgi-bin/man.cgi?query=sshd_config}
+\item[References:]
+The openssh sshd\_config  man page is the best reference: \url{http://www.openssh.org/cgi-bin/man.cgi?query=sshd_config}
 
 
 \item[How to test:]
 % describe here or point the admin to tools (can be a simple footnote or \ref{} to  the tools section) which help the admin to test his settings.
-
 Connect with a client to an ssh server like this: \\
 \begin{lstlisting}[breaklines]
 $ ssh -vvv myserver.com
@@ -50,3 +50,58 @@ $ ssh -vvv myserver.com
 and observe the key exchange in the verbose output.
 
 \end{description}
+
+\subsection{Cisco ASA}
+
+
+\begin{description}
+\item[Tested with Version:]9.1(3) 
+
+\item[Settings:] \mbox{}
+\begin{lstlisting}[breaklines]
+crypto key generate rsa modulus 2048
+ssh version 2
+ssh key-exchange group dh-group14-sha1
+line vty 0 4
+ transport input ssh
+\end{lstlisting}
+Note: When the ASA is configured for SSH, by default both SSH versions 1 and 2 are allowed. In addition to that, only a group1 DH-key-exchange is used. This should be changed to allow only SSH version 2 and to use a key-exchnage with group14. The generated RSA key should be 2048 bit (the actual supported maximum). A non-cryptographic best practice is to reconfigure the lines to only allow SSH-logins.
+\item[References:]
+http://www.cisco.com/en/US/docs/security/asa/asa91/configuration/general/admin\_management.html 
+
+
+\item[How to test:]
+Connect with a client to an ssh server like this: \\
+\begin{lstlisting}[breaklines]
+$ ssh -vvv myserver.com
+\end{lstlisting}and observe the key exchange in the verbose output.
+\end{description}
+
+
+\subsection{Cisco IOS}
+
+
+\begin{description}
+\item[Tested with Version:] 15.0, 15.1, 15.2
+
+\item[Settings:] \mbox{}
+\begin{lstlisting}[breaklines]
+crypto key generate rsa modulus 2048 label SSH-KEYS
+ip ssh rsa keypair-name SSH-KEYS
+ip ssh version 2
+ip ssh dh min size 2048
+\end{lstlisting}
+Note: Same as with the ASA, also on IOS by default both SSH versions 1 and 2 are allowed and the DH-key-exchange only use a DH-group of 768 Bit.
+In IOS, a dedicated Key-pair can be bound to SSH to reduce the usage of individual keys-pairs.
+
+\item[References:]
+http://www.cisco.com/en/US/docs/ios/sec\_user\_services/configuration/guide/sec\_secure\_shell\_v2.html 
+
+% add any further references or best practice documents here
+
+\item[How to test:]
+Connect with a client to an ssh server like this: \\
+\begin{lstlisting}[breaklines]
+$ ssh -vvv myserver.com
+\end{lstlisting}and observe the key exchange in the verbose output.
+\end{description}