Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

--- aaa_switch-access_mode_enhanced [2016/07/26 19:46] – angelegt benny
+++ aaa_switch-access_mode_enhanced [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
@@ Zeile 1: / Zeile 1: @@
 ====== Wichtige Information zum "aaa switch-access mode enhanced" ======
-<WRAP center round important 60%>
+<WRAP center round info 60%>
-Wenn Sie "aaa switch-access mode enhanced" nutzen möchten, kontaktieren Sie bitte den ALE Support und fordern AOS >= 6.7.1.56.R02 an! Dieses Release beinhaltet eine wichtige Fehlerkorrektur! Referenz: PR 217364
+Aufgrund einer Reihe von Fehlerkorrekturen, empfehle ich für den Einsatz von "ASA Enhanced" mindestens das AOS 6.7.1.76.R04.
 </WRAP>
-Mit AOS 6.7.1.R02 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert. Neben einer Reihe von Passwortvorgaben gibt es eine weitere bisher nicht dokumentierte Sicherheitsfunktion (daher schreibe ich nun diesen Artikel).
+Mit AOS 6.7.1.R02/R03/R04 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert.
 Wenn ein Benutzer z.B. "admin" bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers "admin" per SSH/SFTP/FTP **unterbunden**. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen.
@@ Zeile 47: / Zeile 47: @@
   * Passwortschutz für "show log swlog"
   * Lokale Accounts z.B. "admin" können nur einmal zurzeit verwendet werden
+  * <del>**Ein Reboot ist aus der Ferne nicht mehr möglich (weder per SSH noch per SNMP(v3)).**</del> Mit AOS 6.7.1.R04 wird diese etwas sinnbefreite Einschränkung aufgehoben! (Getestet in 6.7.1.71.R04 -benny)
+  * Unterstützung für DSA 1024 und RSA 2048 public key für SSH (im enhanced-mode!)
+  * Das RSA 2048 public/private Schlüsselpaar wird in /flash/network erzeugt (wenn nicht bereits vorhanden) wenn der Switch neustartet nachdem man den ASA Enhanced Modus aktiviert hat (daher empfehle ich auch einen Neustart nach dieser Änderung!)
+  * WebView verwendet im ASA Enhanced Modus TLS 1.2 (nach einem Neustart)
 Aktiviert wird der Modus wie folgt:
@@ Zeile 52: / Zeile 56: @@
 -> aaa switch-access mode enhanced
 </code>
+<WRAP center round tip 60%>
+Ich empfehle einen Neustart damit der SSH-Daemon und WebView die besseren Verschlüsselungsverfahren nutzen!
+</WRAP>
 Bei der nächsten Anmeldung des Benutzers "admin" wird z.B. verlangt dass das Standardpasswort "switch" geändert wird, da es nicht den Sicherheitsvorgaben entspricht.
 Das Passwort für die Anzeige der Logdateien ("show log swlog") wird über folgendes Kommando festgelegt:
+**Bis AOS 6.7.1.R04:**
 <code>
 system swlog password <passwort>
 </code>
+Das Password wird dabei gehashed in der boot.cfg hinterlegt.
-Das Password wird dabei gehashed der boot.cfg hinterlegt.
+**Ab AOS 6.7.1.R04:**
+<code>
+-> system swlog password switch
+ERROR: Command no longer supported.
+OS6450-P10-> show log swlog
+Username : admin
+password : ***********
+Displaying file contents for '/flash/swlog2.log'
+FILEID: fileName[/flash/swlog2.log], endPtr[60],  configSize[64000], mode[2]
+Displaying file contents for '/flash/swlog1.log'
+FILEID: fileName[/flash/swlog1.log], endPtr[801],  configSize[64000], mode[1]
+</code>
+<del>Ein Reboot des Switches ist aus der Ferne nicht mehr möglich! Zu diesem Thema habe ich aktuell eine interne Anfrage bei unserer Entwicklung laufen da sich der Sinn meinem Verständnis entzieht.</del> (Dies ist ab 6.7.1.R04 korrigiert!)
+<code>
+-> reload working no rollback-timeout
+ERROR: Reload can be done only via console. (CLI-mip_create_msg)
+</code>
-Die weiteren Details finden Sie im AOS 6.7.1.R02 "Switch Management Guide", Kapitel 10 -> "Managing Switch Security".
+Die weiteren Details finden Sie im AOS 6.7.1.R02/R03/R04 "Switch Management Guide", Kapitel 10 -> "Managing Switch Security".