DokuWiki

Benutzer-Werkzeuge

Webseiten-Werkzeuge

Zuletzt angesehen: loopback-detection show-log-events techtip-template raspberry-pi-aufsetzen
aaa_switch-access_mode_enhanced

Unterschiede

Hier werden die Unterschiede zwischen zwei Versionen angezeigt.

Link zu dieser Vergleichsansicht

Beide Seiten der vorigen RevisionVorhergehende Überarbeitung
Nächste Überarbeitung		Vorhergehende Überarbeitung
aaa_switch-access_mode_enhanced [2016/08/29 18:37] bennyaaa_switch-access_mode_enhanced [2024/06/09 10:29] (aktuell) – Externe Bearbeitung 127.0.0.1
Zeile 1: Zeile 1:
 ====== Wichtige Information zum "aaa switch-access mode enhanced" ====== ====== Wichtige Information zum "aaa switch-access mode enhanced" ======
  
-<WRAP center round important 60%> +<WRAP center round info 60%> 
-Wenn Sie "aaa switch-access mode enhancednutzen möchten, kontaktieren Sie bitte den ALE Support und fordern AOS >= 6.7.1.56.R02 an! Dieses Release beinhaltet eine wichtige Fehlerkorrektur! Referenz: PR 217364 +Aufgrund einer Reihe von Fehlerkorrekturen, empfehle ich für den Einsatz von "ASA Enhancedmindestens das AOS 6.7.1.76.R04.
- +
-In AOS 6.7.1.86.R03 ist diese Korrektur in der GA-Version enthalten!+
 </WRAP> </WRAP>
  
-Mit AOS 6.7.1.R02/R03 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert. Neben einer Reihe von Passwortvorgaben gibt es eine weitere bisher nicht dokumentierte Sicherheitsfunktion (daher schreibe ich nun diesen Artikel).+Mit AOS 6.7.1.R02/R03/R04 wurde die Sicherheit beim Zugriff auf den OmniSwitch verbessert.
  
 Wenn ein Benutzer z.B. "admin" bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers "admin" per SSH/SFTP/FTP **unterbunden**. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen. Wenn ein Benutzer z.B. "admin" bereits auf dem System per Console angemeldet ist, wird ein weiterer Zugriffsversuch des Benutzers "admin" per SSH/SFTP/FTP **unterbunden**. Der Benutzer hat dabei das Gefühl als hätte er sich beim Passwort vertippt, daher ist es wichtig dieses Verhalten zu kennen.
Zeile 49: Zeile 47:
   * Passwortschutz für "show log swlog"   * Passwortschutz für "show log swlog"
   * Lokale Accounts z.B. "admin" können nur einmal zurzeit verwendet werden   * Lokale Accounts z.B. "admin" können nur einmal zurzeit verwendet werden
-  * **Ein Reboot ist aus der Ferne nicht mehr möglich (weder per SSH noch per SNMP(v3)). Anfrage bei R&D läuft!**+  * <del>**Ein Reboot ist aus der Ferne nicht mehr möglich (weder per SSH noch per SNMP(v3)).**</del> Mit AOS 6.7.1.R04 wird diese etwas sinnbefreite Einschränkung aufgehoben(Getestet in 6.7.1.71.R04 -benny) 
 +  Unterstützung für DSA 1024 und RSA 2048 public key für SSH (im enhanced-mode!) 
 +  Das RSA 2048 public/private Schlüsselpaar wird in /flash/network erzeugt (wenn nicht bereits vorhanden) wenn der Switch neustartet nachdem man den ASA Enhanced Modus aktiviert hat (daher empfehle ich auch einen Neustart nach dieser Änderung!) 
 +  * WebView verwendet im ASA Enhanced Modus TLS 1.2 (nach einem Neustart)
  
 Aktiviert wird der Modus wie folgt: Aktiviert wird der Modus wie folgt:
Zeile 55: Zeile 56:
 -> aaa switch-access mode enhanced -> aaa switch-access mode enhanced
 </code> </code>
 +<WRAP center round tip 60%>
 +Ich empfehle einen Neustart damit der SSH-Daemon und WebView die besseren Verschlüsselungsverfahren nutzen!
 +</WRAP>
 +
  
 Bei der nächsten Anmeldung des Benutzers "admin" wird z.B. verlangt dass das Standardpasswort "switch" geändert wird, da es nicht den Sicherheitsvorgaben entspricht. Bei der nächsten Anmeldung des Benutzers "admin" wird z.B. verlangt dass das Standardpasswort "switch" geändert wird, da es nicht den Sicherheitsvorgaben entspricht.
  
 Das Passwort für die Anzeige der Logdateien ("show log swlog") wird über folgendes Kommando festgelegt: Das Passwort für die Anzeige der Logdateien ("show log swlog") wird über folgendes Kommando festgelegt:
 +
 +**Bis AOS 6.7.1.R04:**
 <code> <code>
 system swlog password <passwort> system swlog password <passwort>
 </code> </code>
 +Das Password wird dabei gehashed in der boot.cfg hinterlegt.
  
-Das Password wird dabei gehashed der boot.cfg hinterlegt.+**Ab AOS 6.7.1.R04:** 
 +<code> 
 +-> system swlog password switch 
 +ERROR: Command no longer supported.
  
-Ein Reboot des Switches ist aus der Ferne nicht mehr möglich! Zu diesem Thema habe ich aktuell eine interne Anfrage bei unserer Entwicklung laufen da sich der Sinn meinem Verständnis entzieht.+OS6450-P10-> show log swlog 
 + 
 +Username : admin 
 + 
 +password : *********** 
 + 
 +Displaying file contents for '/flash/swlog2.log' 
 +FILEID: fileName[/flash/swlog2.log], endPtr[60],  configSize[64000], mode[2] 
 +Displaying file contents for '/flash/swlog1.log' 
 +FILEID: fileName[/flash/swlog1.log], endPtr[801],  configSize[64000], mode[1] 
 +</code> 
 + 
 +<del>Ein Reboot des Switches ist aus der Ferne nicht mehr möglich! Zu diesem Thema habe ich aktuell eine interne Anfrage bei unserer Entwicklung laufen da sich der Sinn meinem Verständnis entzieht.</del> (Dies ist ab 6.7.1.R04 korrigiert!)
  
 <code> <code>
Zeile 72: Zeile 95:
 </code> </code>
  
-<WRAP center round tip 60%> +Die weiteren Details finden Sie im AOS 6.7.1.R02/R03/R04 "Switch Management Guide", Kapitel 10 -> "Managing Switch Security".
-TODO: Rückmeldung von R&D wenn erhalten. +
-</WRAP> +
- +
- +
-Die weiteren Details finden Sie im AOS 6.7.1.R02/R03 "Switch Management Guide", Kapitel 10 -> "Managing Switch Security".+
aaa_switch-access_mode_enhanced.1472495840.txt.gz · Zuletzt geändert: 2024/06/09 10:29 (Externe Bearbeitung)
Donate Powered by PHP Valid HTML5 Valid CSS Driven by DokuWiki