Общий привет.
Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа по SSH?
Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security Plus. Software Version 9.2(2)4
> Общий привет.
> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
> по SSH?
> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
> Plus. Software Version 9.2(2)4Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все равно же аклом разрешаешь кому можно а кому нет.
>> Общий привет.
>> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
>> по SSH?
>> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
>> Plus. Software Version 9.2(2)4
> Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все
> равно же аклом разрешаешь кому можно а кому нет.Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт перебирать пароли ssh - явление редкое.
>>> Общий привет.
>>> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
>>> по SSH?
>>> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
>>> Plus. Software Version 9.2(2)4
>> Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все
>> равно же аклом разрешаешь кому можно а кому нет.
> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
> перебирать пароли ssh - явление редкое.Я почти уверен, что это можно сделать при помощи статического NAT. Но вот как именно это реализуется, я и хотел бы узнать.
> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
> перебирать пароли ssh - явление редкое.Сугубо IMHO:
Лучше конечно полностью закрыть от инета прямое админство. Понятно, что есть нужда лазить удалённо, но если это не SOHO-локалка, то наверняка ведь не одна ASA. Так лучше устроить проброс нестандартного порта на некий внутренний хост, на которм в меру умения запилить SSH/RDP/VPN-доступ. А с него уже на любой сервак, коммутатор и чего ещё там.
>> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
>> перебирать пароли ssh - явление редкое.
> Сугубо IMHO:
> Лучше конечно полностью закрыть от инета прямое админство. Понятно, что есть нужда
> лазить удалённо, но если это не SOHO-локалка, то наверняка ведь не
> одна ASA. Так лучше устроить проброс нестандартного порта на некий внутренний
> хост, на которм в меру умения запилить SSH/RDP/VPN-доступ. А с него
> уже на любой сервак, коммутатор и чего ещё там.Да собственно на самой асе можно включить Anyconnect VPN и не парить себе мозг.
> Да собственно на самой асе можно включить Anyconnect VPN и не парить
> себе мозг.Согласен. Тоже вариант, для 5505 ещё есть Easy VPN, не пробовал.
Только вот понятие "не парить мозг" может быть разное. =)
Я так - условно картинку нарисую, оффтоп-теоретически, не поймите чего не того.Итак. Надо на disk0: иметь какой-нить недревний anyconnect-*.pkg. Не знаю, как там сейчас наша криптоненавистная таможня - такое пропускает ли в поставках?
Ну ладно, неважно как - файлик есть. Без начального опыта настроить грамотно такое в CLI - увлекательный квест, знаем-плавали, и КонфиГайды неплохие, но... Да и сама Cisco, тварь такая, в мануалах теперь полюбила скриншоты ASDM рисовать. Значит ещё файлик нужен, а есть ли он? ;)
Опять ладно, работаем, к хорошему привыкаем, растём над собой и вдруг - больше двух одновременных коннектов низя, а уже хочется. Получить же activation-key для Essentials/Mobile - "ну ты понел" (c).
Чешем репу и решаем. Чёрт с ымя, пусть даже если c nix'ами не дружим, чо у нас в сети всегда есть? Сервачок 1С. =)_) PPTP, или ещё кого там на винде запиливать лень, ну так высовываем RDP наружу на какой-нить 33389 порт, "и не парить себе моск". =)))
Коллеги, всем спасибо!