• Menu
  • Netzwerk
    • Überblick
    • öffentliche route-servers / BGP Regular expr
    • Netzwerk-Scanner
    • Plan for Network Migration and Growth
    • Wireless Netzwerk
    • Cisco
      • Überblick
      • IOS oder NX-OS
        • Überblick
        • Blocken von Brute-Force Logins
        • Aktivierung der Netflow Toptalker Funktion
        • Initialisierung von TCL-Skripting absichern
        • aktiviere ssh
        • Durchsatz per Interface steuern
        • automatisches Backup mittels kron
        • Wurmerkennung via Netflow
        • Softwareupdate inklusive WebUI
        • cisco ntp Konfiguration via md5 absichern
        • cisco ntp Konfiguration via ACL absichern
        • System MTU - ip ospf mtu-igonore
        • ICMP access-list erstellen
      • ASA
        • Überblick
        • aktiviere ssh
        • VPN Tunnel-group und group-policy schnell löschen
        • AAA mit redundanter Radius-Anbindung
        • AAA local authentication Password Retry Lockout
        • Anstatt Drop ein Reset senden
        • Bandbreitenbegrenzung
        • Schutz gegen DNS-Attacken
        • Schutz gegen IP-Spoofing-Attacken
        • Schutz gegen TCP-SYNC-Attacken einrichten
        • Active/Standby Firewall Cluster erstellen
        • Konfigurationsrecovery der Standby-Cluster-Unit
        • Firmware ASDM Update im Active/Standby Cluster
        • ICMP durch einen VPN Tunnel erlauben
        • Tunnel Default Gateway
      • virl
        • Überblick
        • ASAv welche Lizenzen sind aktiv?
        • Cisco VIRL for FREE!
      • Social Media Streams
        • Tweets by @CiscoSP360
        • Tweets by @xrdocs
        • Tweets by @CiscoLive
        • Tweets by @CiscoDevNet
        • Tweets by @DevNetCreate
        • Tweets by @Webex
        • Tweets by @CiscoSpark
        • Tweets by @TalosSecurity
        • Tweets by @CiscoSecurity
        • Tweets by @LearningatCisco
      • Links
        • cisco.com
        • cisco forum DE
        • cisco EoS - EoL
    • Palo Alto Networks
      • Überblick
      • Lüftergeräusch für PA-200 einstellen
      • Factory Reset Prozess für PA-200
      • Schutz gegen Ransomware (Filtern von Windows PE-Dateien)
      • Installation der paloalto networks Firewall VM-100
      • overview of file blocking profiles
      • Social Media Streams
        • Tweets by @PANWGovPolicy
        • Tweets by @PaloAltoNtwks
      • Links
        • Security Advisory
    • DNS
      • Überblick
      • DNS - allgemein
      • Vorsorge gegen DNS Amplification Attacks
      • DNS Client Conformance Test
      • DNS fingerprinting tool
      • DNSCAP - DNS traffic capture utility
      • CADR (DNSSEC Authenticated DNS Registry)
      • OARC's DNS Reply Size Test Server
      • ENUM − Mapping von e164 Nummern
      • Lokalisierung von SIP-Servern via DNS
      • Social Media Streams
        • Tweets by @ISCdotORG
        • Tweets by @NLnetLabs
      • Links
        • NLnet Labs - LDNS
        • NLnet Labs - Unbound
        • DNS-OARC
        • DNS Bajaj
        • solarwinds - DNSstuff
        • Ripe - reverse zone check
        • dnssec-deployment
        • DNS - Tunnel
        • DNS Performance Test
    • NTP
      • Überblick
      • NTP - allgemein
      • NTP - Hierachie
      • Timeline
      • Zeitabgleich
      • ntp.conf und Meinberg Empfangsmodus
      • udev-rule für NTP erstellen
      • logrotate Datei für NTP erstellen
      • init Datei für NTP erstellen
      • Implementierung und Konfiguration von NTP
      • Statistikfunktion von NTP aktivieren
      • Administrationstools für NTP
      • Social Media Streams
        • Tweets by @ISCdotORG
      • Links
        • ntp.org
        • Current versions of NTP
        • NTP für Windows
        • ntpdc - special NTP query program
        • ntpq - standard NTP query program
    • Monitoring
      • Überblick
      • Monitoring Flow-Replikatoren
      • Netzwerktransparenz und Sicherheitsanalysen
      • Social Media Streams
        • Tweets by @NetBrainTechies
        • Tweets by @LogZilla
        • Tweets by @stealth_labs
        • Tweets by @solarwinds
      • Links
        • Open Monitoring Distribution
        • StealthWatch
  • Betriebssystem
    • Apple
      • Überblick
      • iOS
        • Überblick
        • Listen To iOS Network Communications
        • Wi-Fi-Netzwerk-Roaming mit 802.11k und 802.11r
        • Mit wem shared Airdrop per default Dateien
        • Verschlüsselung der App-Dateninhalte
        • Exploit "Apple Diagnostic Service"
        • Cisco Meraki - MDM
        • Verlorenes oder gestohlenes Apple-Produkt melden
      • macOS
        • Überblick
        • Terminalbefehle
          • macOS härten
            • Terminal Befehl zum Ändern des NTP Servers
            • Absichern des Captive Portal-Dienstprogrammes
            • Deaktivieren von Bonjour im Terminal
            • Deaktivieren des Crash Reporters via Terminal
            • Erstellen von Metadaten via Terminal abstellen
            • Terminal Befehl zum Spoofen der Wi-Fi MAC-Adresse
            • Software Update Service In OS X Server 5
          • macOS auditieren
            • FileVault Status auslesen
            • auslesen der WLAN Informationen
            • Terminal-Befehle zum Anzeigen von Netzwerklaufwerken
            • alle Benutzer auflisten
          • macOS Installmedium erstellen
            • Erstellen einer bootfähigen ISO für macOS Sierra
            • USB Boot Stick für El Capitan oder macOS Sierra erstellen
          • Funktionen für Scripte
            • Funktion zur Auditierung der Software und Updates
            • Funktion Konfigurationsaudit der Sharing-Services
            • Funktion für Konfig-Audit vom SSH Deamon
            • Funktion Firewall Konfigurationsaudit
            • Funktion Konfigurationsaudit Benutzerkonten
            • Funktion Konfigurationsaudit (WLAN, Bluetooth, Thunderbolt, Firewire etc.)
            • Funktion für das Anzeigen aller Mitglieder der Gruppe wheel
            • Konfigurationsaudit bzgl. Backup (TimeMachine)
            • Auditierung des Power Management
            • Konfigurationsaudit der Netzwerk Services
          • Hostname via Terminal ändern
          • Icons auf dem Desktop auf die schnelle verstecken
          • verhindert das Photo automatisch startet
          • Verbose Logging im Profile Manager
          • ausschalten der Rechtschreibautokorrektur
          • verkonfigurierte Netzwerkeinstellungen komplett zurücksetzen
          • Passwort des Administrators zurücksetzen
          • bevorzugte Server wiederherstellen
          • Apple Remote Desktop via ssh aktivieren
          • Bildschirmfoto Ablageort und Dateityp ändern
          • Standard Benutzer via cli einrichten
        • Abgekündigte und Vintage-Produkte
        • Welche SSL/TLS Cipher unterstützt mein Browser
        • Absicherung des Single-User-Modus
        • empfohlene Parameter für die Secure Shell (ssh)
        • macOS Autostart
        • Malware-Check für macOS
        • OS X Auditor freies Forensic-Tool
      • Social Media Streams
        • Tweets by @AppleSupport
      • Links
        • iPhone Jailbreak
        • WLAN-Netzwerk-Roaming
        • Infos zu WLAN-Roaming für Unternehmen
        • Apple-Sicherheitsupdates
        • Apple‑ID
        • meraki - MDM
        • Apple Configurator
        • Abgekündigte und Vintage-Produkte
        • Support für Unternehmen und Bildungseinrichtungen
        • Open Directory: Enabling SSL for Open Directory with Replicas
        • Profilmanager zurücksetzen
        • Sicher Apps auf dem Mac öffnen
    • Linux
      • Überblick
      • mini HowTo für cpio und rpm2cpio
      • HowTo RPM Paket Erstellung
      • System- und Update Repository
      • entpacken von Java rpm.bin Paket
      • Webserver Apache als Reverse-Proxy
      • übersetzen von SRPMs
      • In 5 Schritten zum eigenen Repository
      • Daten schreddern unter Linux
      • Social Media Streams
        • Tweets by @openshift
        • Tweets by @RedHat
      • Links
        • Container Security in OpenShift
        • RedHat Security Advisory
    • Microsoft
      • Überblick
      • Programme deinstallieren mit der Powershell
      • Powershell-Skripte obwohl Applocker und Ausführungsrichtlinien dies verhindern
      • sicheres löschen mit Windows Bordmitteln
      • administrative Vorlagen
        • administrative Vorlagen (Baselines) Windows 8/8.1
      • Social Media Streams
        • Tweets by @msftsecurity
        • Tweets by @SharePoint
        • Tweets by @MicrosoftTeams
        • Tweets by @MicrosoftFlow
        • Tweets by @MSFTMechanics
        • Tweets by @o365netzwerk
        • Tweets by @SharePoint_Net
        • Tweets by @SharePointPart
        • Tweets by @SharePointSky
        • Tweets by @sdmsoftware
      • Links
        • AD security
        • sdm software
        • Gruppenrichtlinien (GPO)
        • communication ports - OFFICE 365
  • Cybersicherheit
    • Tweets by @Rhebo_IIot
    • Industrie 4.0 Stabilitäts- und sicherheitsaudit
    • Tweets by @rapid7
    • Tweets by @metasploit
    • Tweets by @BlackHatEvents
    • Tweets by @Unit42_Intel
  • Software
    • PE-Sig
    • mininet
    • Registry Workshop
    • Tunnelblick
    • Lingon
    • Python Releases for Mac OS X
    • Python Data Analysis Library
    • inSSIDer
    • sFlowTrend
    • Flow Replicator
    • NetSurveyor
    • SoftPerfect Network Scanner
    • nmap
    • Tufin Orchestration Suite
    • Source auf github
      • RadioCarbon - Leak file analyzer
      • IntelTXE-PoC
      • nmap-parse-output
      • bcmstat
      • Pliim
      • OS X Auditor
      • Sigma
      • YARA in a nutshell
    • Source auf bitbucket
      • biplist
  • FAQ
    • Apple-iOS
    • DDOS
    • DNS
    • IPv6
    • NTP
  • suche

aktiviere ssh

Per Default ist seltens bereits die sichere Zugangsmethode ssh auf den Routern und Switches aktiv oder bietet nicht einen sicheren Modus an. Mit den folgenden einfachen Schritten besteht die Chance ssh zu aktivieren und/oder an die eigenen Sicherheitsbedürfnisse anzupassen.

  • HowTo für die Cisco ASAv

    Die folgenden Werte dürften nach einem Facrory-Reset der ASA aktiv sein

    ASA-Intern# sh ssh
    Timeout: 5 minutes
    Version allowed: 1
    0.0.0.0 0.0.0.0 outside
    0.0.0.0 0.0.0.0 outside-1
    0.0.0.0 0.0.0.0 mgmt
    ASA-Intern#

    Mit den nächsten Konfigurationszeilen optimiere ich die bereits aktive Konfiguration und binde die Authentisierung an die lokale Benutzerdatenbank. Denn einen Radius oder Tacacs+ habe ich zur Zeit nicht eingebunden.

    ASA-Intern# conf t
    ASA-Intern(config)# ssh timeout 10
    ASA-Intern(config)# ssh version 2
    ASA-Intern(config)# ssh key-exchange group dh-group14-sha1
    ASA-Intern(config)# ssh stricthostkeycheck
    ASA-Intern(config)# aaa authentication ssh console LOCAL

    Nochmal geschaut wie die Konfiguration jetzt aus schaut.

    ASA-Intern# sh ssh
    Timeout: 10 minutes
    Version allowed: 2
    0.0.0.0 0.0.0.0 outside
    0.0.0.0 0.0.0.0 outside-1
    0.0.0.0 0.0.0.0 mgmt

    Da von Cisco meist die Defaulteinstellungen versteckt werden, wird zusätzlich noch die komplette Konfiguration nach dem Schlüsselwort ssh durchsucht.

    ASA-Intern# sh run all | i ssh
    object service tcp-ssh pre-defined
    service tcp destination eq ssh
    aaa authentication ssh console LOCAL
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh 0.0.0.0 0.0.0.0 outside-1
    ssh 0.0.0.0 0.0.0.0 mgmt
    ssh timeout 10
    ssh version 2
    ssh key-exchange group dh-group14-sha1

© 2022 je-ru | Impressum | Datenschutz