セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX Firewall(5.2〜6.2) での認証とイネーブル化の実行方法

2003 年 2 月 14 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2006 年 4 月 26 日) | フィードバック

目次


概要

この文書では、PIX ソフトウェア バージョン 5.2〜6.2 が動作している PIX Firewall に AAA 認証を使用してアクセスする方法について説明し、イネーブル認証syslog、および AAA サーバのダウン時のアクセス方法に関する情報を示します。PIX 5.3 以上における、認証、許可、会計(AAA)の旧バージョンのコードからの変更点は、RADIUS ポートが設定可能なことです。

PIX ソフトウェア バージョン 5.2 以上では、次の 5 通りの方法で PIX への AAA 認証アクセスを実行できます。

注:最後の 3 つの方法を使用する場合は、PIX で DES または 3DES を有効にする必要があります(show version コマンドで確認可能)。PIX ソフトウェア バージョン 6.0 以上では、PIX Device Manager(PDM)をロードして GUI 管理を行うこともできます。PDM はこの文書の適用範囲外です。

AAA 認証の準備

AAA 認証を追加する前に、次の作業を行う必要があります。

  • 次のコマンドを発行して、PIX にパスワードを追加する。
    passwd ww

    telnet <local_ip> [<mask>] [<if_name>]

    注:PIX はこのパスワードを自動的に暗号化し、次の例のように、キーワード encrypted 付きの暗号化された文字列を作成します。

    passwd OnTrBUG1Tp0edmkr encrypted

    encrypted キーワードを追加する必要はありません。

  • 上記の文を追加した後、内部ネットワークから PIX の内部インターフェイスに AAA 認証なしで Telnet できることを確認する。
  • コマンドを元に戻す必要がある場合に備えて、認証文を追加している間は常に PIX への接続をオープンしておく。

AAA 認証(順序がクライアントによって異なる SSH を除く)では、ユーザは最初に PIX パスワードの入力を求められ(passwd <whatever> の場合と同様)、次に RADIUS または TACACS のユーザ名とパスワードの入力を求められます。

ハードウェアとソフトウェアのバージョン

この文書の例は、次のバージョンのソフトウェアを使用して開発およびテストされています。

  • PIX ソフトウェア バージョン 5.2、5.3、6.0、6.1、6.2
  • Cisco Secure VPN Client 1.1
  • Cisco VPN 3000 Client 2.5
  • Cisco VPN Client 3.0.x(PIX 6.0 のコードが必要)

設定可能な RADIUS ポート(5.3 以上)

一部の RADIUS サーバは、1645/1646 以外の RADIUS ポート(通常は 1812/1813)を使用します。PIX 5.3 では、次のコマンドを使用して、RADIUS の認証およびアカウンティング ポートをデフォルトの 1645/1646 以外に変更できます。

aaa-server radius-authport #
aaa-server radius-acctport #

Telnet 認証 - 内部

ネットワーク ダイアグラム

PIX 設定に追加するコマンド

設定に次のコマンドを追加します。

aaa-server topix protocol tacacs+
aaa-server topix host 10.31.1.41 cisco timeout 5
aaa authentication telnet console topix

ユーザは最初に PIX パスワードの入力を求められ(passwd <whatever> の場合と同様)、次に RADIUS または TACACS のユーザ名とパスワードの入力を求められます(ユーザ名とパスワードは 10.31.1.41 の TACACS または RADIUS サーバに保存されています)。

コンソール ポート認証

設定に次のコマンドを追加します。

aaa-server topix protocol tacacs+
aaa-server topix host 10.31.1.41 cisco timeout 5
aaa authentication serial console topix

ユーザは最初に PIX パスワードの入力を求められ(passwd <whatever> の場合と同様)、次に RADIUS または TACACS のユーザ名とパスワードの入力を求められます(ユーザ名とパスワードは 10.31.1.41 の RADIUS または TACACS サーバに保存されています)。

図 - VPN Client 1.1、VPN 3000 2.5、または VPN Client 3.0 - 外部

Cisco Secure VPN Client 1.1 の認証 - 外部

Cisco Secure VPN Client 1.1 の認証 - 外部 - クライアント設定

 1- Myconn

      My Identity

           Connection security: Secure

           Remote Party Identity and addressing

           ID Type: IP address

           Port all Protocol all

           Pre-shared key (matches that on PIX)

 

      Connect using secure tunnel

           ID Type: IP address

           172.18.124.157

 

      Authentication (Phase 1)

      Proposal 1

 

          Authentication method: Preshared key

          Encryp Alg: DES

          Hash Alg: MD5

          SA life:  Unspecified

          Key Group: DH 1

 

      Key exchange (Phase 2)

      Proposal 1

          Encapsulation ESP

          Encrypt Alg: DES

          Hash Alg: MD5

          Encap: tunnel

          SA life: Unspecified

          no AH

 

  2- Other Connections

         Connection security: Non-secure

         Local Network Interface

           Name: Any

           IP Addr: Any

           Port: All

 

Cisco Secure VPN Client 1.1 の認証 - 外部 - PIX 設定(一部)

 ip address outside 172.18.124.157 255.255.255.0

 aaa-server topix (outside) host 172.18.124.114 cisco timeout 5

 aaa authentication telnet console topix

 sysopt connection permit-ipsec

 no sysopt route dnat

 crypto ipsec transform-set myset esp-des esp-md5-hmac

 crypto dynamic-map dynmap 10 set transform-set myset

 crypto map mymap 10 ipsec-isakmp dynamic dynmap

 crypto map mymap interface outside

 isakmp enable outside

 !

 !--- 外部クライアントの IP アドレスがわかっている場合は、
!--- その IP アドレスを次の文で使用します。
isakmp key ******** address 0.0.0.0 netmask 0.0.0.0 ! isakmp identity address isakmp policy 10 authentication pre-share isakmp policy 10 encryption des isakmp policy 10 hash md5 isakmp policy 10 group 1 isakmp policy 10 lifetime 86400 ! !--- この例では、クライアントは次のネットワークから PIX にアクセスすることが
!--- わかっています。外部クライアントの IP アドレスがわかっている場合は、
!--- その IP アドレスを次の文で使用します。
telnet 172.18.124.0 255.255.255.0 outside

VPN 3000 2.5 または VPN Client 3.0 の認証 - 外部

VPN 3000 2.5 または VPN Client 3.0 の認証 - 外部 - クライアント設定

  1. VPN 3000 から、VPN Dialer | Properties | Name the connection を選択します。
  2. Authentication | Group Access Information を選択します。グループ名とパスワードが、PIX の vpngroup <group_name> password ******** 文に設定されたものと一致する必要があります。

Connect をクリックすると、暗号化トンネルが作成され、PIX によって test プールからの IP アドレスが割り当てられます(VPN 3000 クライアントでは mode-config のみがサポートされます)。これで、ターミナル ウィンドウを起動して 172.18.124.157 に Telnet し、AAA 認証を受けることができます。このプールのユーザから外部インターフェイスへの接続は、PIX 上の telnet 192.168.1.x コマンドによって許可されます。

VPN 3000 2.5 の認証 - 外部 - PIX 設定(一部)

 ip address outside 172.18.124.157 255.255.255.0

 ip address inside 10.31.1.101 255.255.255.0

 aaa-server topix (outside) host 172.18.124.114 cisco timeout 5

 aaa authentication telnet console topix

 sysopt connection permit-ipsec

 no sysopt route dnat

 crypto ipsec transform-set myset esp-des esp-md5-hmac

 crypto dynamic-map dynmap 10 set transform-set myset

 crypto map mymap 10 ipsec-isakmp dynamic dynmap

 crypto map mymap client configuration address initiate

 crypto map mymap client configuration address respond

 crypto map mymap interface outside

 isakmp enable outside

 isakmp identity address

 !

 !--- 2.5 コードを実行している VPN 3000 Client 用の ISAKMP ポリシー

 isakmp policy 10 authentication pre-share

 isakmp policy 10 encryption des

 isakmp policy 10 hash md5

 !--- 2.5 クライアントは group 1 ポリシーを使用します(PIX のデフォルト)。

 isakmp policy 10 group 1

 isakmp policy 10 lifetime 86400

 !

 !--- 3.0 コードを実行している VPN Client 用の ISAKMP ポリシー

 isakmp policy 20 authentication pre-share

 isakmp policy 20 encryption des

 isakmp policy 20 hash md5

 !--- 3.0 クライアントは D-H group 2 ポリシーを使用します。

 ! & require PIX 6.0 code

 isakmp policy 20 group 2

 isakmp policy 20 lifetime 86400

 !

 vpngroup vpn3000 address-pool test

 vpngroup vpn3000 idle-time 1800

 vpngroup vpn3000 password ********

 telnet 192.168.1.0 255.255.255.0 outside

 

SSH - 内部または外部

PIX 5.2 には、Secure Shell(SSH)バージョン 1 のサポートが追加されています。SSH 1 は、1995 年 11 月の IETF ドラフトに準拠しています。SSH バージョン 1 と 2 には互換性がありません。SSH の詳細については、「The Secure Shell (SSH) Frequently Asked Questionscisco.com 以外のサイトへ移動」を参照してください。

PIX は SSH サーバと見なされ、SSH クライアント(SSH を実行しているボックス)から SSH サーバ(PIX)へのトラフィックは暗号化されます。いくつかの SSH バージョン 1 クライアントが PIX 5.2 リリース ノートに記載されています。ラボでのテストは、NT 用の F-secure SSH 1.1 と、Solaris 用のバージョン 1.2.26 を使用して行われました。

ネットワーク ダイアグラム

AAA 認証される SSH の設定

  1. AAA が設定された PIX に対して、SSH を使用せずに Telnet できることを確認します。

    aaa-server AuthOutbound protocol radius(または tacacs+)
    aaa authentication telnet console AuthOutbound
    aaa-server AuthOutbound host 172.18.124.111 cisco

    注:SSH を設定する場合は、telnet 172.18.124.114 255.255.255.255 コマンドは必要ありません。これは、PIX で ssh 172.18.124.114 255.255.255.255 inside が発行されるためです。ラボでのテスト時には、テストの目的で両方のコマンドを設定しました。

  2. 次のコマンドを使用して SSH を追加します。

    hostname goss-d3-pix515b
    domain-name rtp.cisco.com
    ca gen rsa key 1024

    !--- 注意:CA SAVE ALL コマンドを使用しなければ、RSA キーは保存されません
    !--- write mem コマンドでは RSA キーは保存されません。また、PIX で write erase を実行した場合、
    !--- または PIX を置き換えた場合は、古い設定をカットアンドペーストしてもキーは生成されません。
    !--- ca gen rsa key コマンドを再入力する必要があります。
    !--- フェールオーバー ペアのセカンダリ PIX がある場合は、write standby を実行しても、
    !--- プライマリからセカンダリにキーはコピーされません。セカンダリ デバイスでも、キーを生成して保存する必要があります。

    ssh 172.18.124.114 255.255.255.255 inside
    ssh timeout 60
    aaa authen ssh console AuthOutbound
    logging trap debug
    logging console debug

  3. 設定モードで、次のコマンドを発行します。show ca mypubkey rsa
    goss-d3-pix(config)# show ca mypubkey rsa
    
      % Key pair was generated at: 08:22:25 Aug 14 2000
    
      Key name: goss-d3-pix.rtp.cisco.com
    
       Usage: General Purpose Key
    
       Key Data:
    
        30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00ad4bcb
    
        e9c174d5 0657a0f3 c94e4b6d 32ac8500 6b84e754 59e20df4 f28c257d 131af21d
    
        4c0a8f4c e79d8b6d a3520faa 1a42d577 c6adfe51 9d96fa62 f3be07fb 01e082d7
    
        133cecff bf24f653 bc690b11 ee222070 413c1920 d02321f8 4fc3c5f1 f0c6e077
    
        81e93184 af55438b dcdcda34 c0a5f5ad 87c435ef 67170674 4d5ba51e 6d020301 0001
    
      % Key pair was generated at: 08:27:18 Aug 14 2000
    
      Key name: goss-d3-pix.rtp.cisco.com.server
    
       Usage: Encryption Key
    
       Key Data:
    
        307c300d 06092a86 4886f70d 01010105 00036b00 30680261 00d4f61b ec45843a
    
        4ad9266d b125ee26 efc63cc4 e5e9cda4 9418ee53 6e4d16cf 3d0dc864 4d4830c8
    
        fa7f110e 8a5761ed 4ca73ea7 5d405862 6f3150df 9eb0d11e 9c4d3563 95ff51ae
    
        6711d60b 9a1415e4 19201d3f 03b455ea c1df9a41 b3a5a73f 4f020301 0001     
  4. Solaris ステーションから、次のコマンドで Telnet を試みます。
    rtp-evergreen# ./ssh -c 3des -l cisco -v 172.18.124.157

    注:「cisco」は RADIUS/TACACS+ サーバでのユーザ名で、172.18.124.157 は宛先です。

ローカル SSH の設定(AAA 認証なし)

AAA サーバを使用せずにローカル認証が設定された PIX に対して、SSH 接続を設定することもできます。ただし、この場合はユーザごとに異なるユーザ名をつけることはできません。ユーザ名は常に「pix」です。

PIX でローカル SSH を設定するには、次のコマンドを使用します。

hostname goss-d3-pix515b
domain-name rtp.cisco.com
ca gen rsa key 1024

!--- 注意:CA SAVE ALL コマンドを使用しなければ、RSA キーは保存されません
!--- write mem コマンドでは RSA キーは保存されません。また、PIX で write erase を実行した場合、
!--- または PIX を置き換えた場合は、古い設定をカットアンドペーストしてもキーは生成されません。
!--- ca gen rsa key コマンドを再入力する必要があります。
!--- フェールオーバー ペアのセカンダリ PIX がある場合は、write standby を実行しても、
!--- プライマリからセカンダリにキーはコピーされません。セカンダリ デバイスでも、キーを生成して保存する必要があります。

ssh 172.18.124.114 255.255.255.255 inside
ssh timeout 60
passwd cisco123

この仕組みでは、デフォルトのユーザ名が常に「pix」であるため、この PIX(これは Solaris ボックスからは 3DES でした)への接続コマンドは次のようになります。

./ssh -c 3des -1 pix -v <ip_of_pix>

SSH のデバッグ

debug ssh コマンドを使用しないデバッグ - 3DES と 512 ビット暗号

109005: Authentication succeeded for user 'cse' from 0.0.0.0/0 to 172.18.124.114/0 on interface SSH
109011:Authen Session Start:user 'cse', sid 0
315002:Permitted SSH session from 172.18.124.114 on interface inside for user "cse"
315011:SSH session from 172.18.124.114 on interface inside for user "cse" terminated normally

debug ssh コマンドを使用したデバッグ - 3DES と 512 ビット暗号

goss-d3-pix# debug ssh
SSH debugging on
goss-d3-pix# Device opened successfully.
SSH:host key initialised.
SSH:SSH client:IP = '172.18.124.114' interface # = 1
SSH1:starting SSH control process
SSH1:Exchanging versions - SSH-1.5-Cisco-1.25
SSH1:client version is - SSH-1.5-1.2.26
SSH1:declare what cipher(s) we support:0x00 0x00 0x00 0x0c
SSH1:SSH_SMSG_PUBLIC_KEY message sent
SSH1:SSH_CMSG_SESSION_KEY message received - msg type 0x03, length 112
SSH1:client requests 3DES cipher:3
SSH1:keys exchanged and encryption on
SSH1:authentication request for userid cse
SSH(cse):user authen method is 'use AAA', aaa server group ID = 3
SSH(cse):starting user authentication request, and waiting for reply from AAA server
SSH(cse):user 'cse' is authenticated
SSH(cse):user authentication request completed
SSH1:authentication successful for cse109005:
SSH1:starting exec shellAuthentication succeeded for user 'cse' from 0.0.0.0/0 to 172.18.124.114/0 on interface SSH
315002:Permitted SSH session from 172.18.124.114 on interface inside for user "cse"

デバッグ - 3DES と 1024 ビット暗号

goss-d3-pix# Device opened successfully.
SSH:host key initialised.
SSH:SSH client:IP = '172.18.124.114' interface # = 1
SSH1:starting SSH control process
SSH1:Exchanging versions - SSH-1.5-Cisco-1.25
SSH1:client version is - SSH-1.5-1.2.26
SSH1:declare what cipher(s) we support:0x00 0x00 0x00 0x0c
SSH1:SSH_SMSG_PUBLIC_KEY message sent
SSH1:SSH_CMSG_SESSION_KEY message received - MSG type 0x03, length 144
SSH1:client requests 3DES cipher:3
SSH1:keys exchanged and encryption on
SSH1:authentication request for userid cse
SSH(cse):user authen method is 'use AAA', aaa server group ID = 3
SSH(cse):starting user authentication request, and waiting for reply from AAA server
SSH(cse):user 'cse' is authenticated
SSH(cse):user authentication request completed
SSH1:authentication successful for cse109005:
SSH1:starting exec shellAuthentication succeeded for user 'cse' from 0.0.0.0/0 to 172.18.124.114/0 on interface SSH
315002:Permitted SSH session from 172.18.124.114 on interface inside for user "cse"

デバッグ - DES と 1024 ビット暗号
注:この出力は SSH を実行している PC からのもので、Solaris からのものではありません。

Device opened successfully.
SSH:host key initialised.
SSH:SSH client:IP = '172.18.124.99' interface # = 0
SSH0:starting SSH control process
SSH0:Exchanging versions - SSH-1.5-Cisco-1.25
SSH0:client version is - SSH-1.5-W1.0
SSH0:declare what cipher(s) we support:0x00 0x00 0x00 0x04
SSH0:SSH_SMSG_PUBLIC_KEY message sent
SSH0:SSH_CMSG_SESSION_KEY message received - MSG type 0x03, length 144
SSH0:client requests DES cipher:2
SSH0:keys exchanged and encryption on
SSH0:authentication request for userid ssh
SSH(ssh):user authen method is 'use AAA', aaa server group ID = 4
SSH(ssh):starting user authentication request, and waiting for reply from AAA server
SSH(ssh):user 'ssh' is authenticated
SSH(ssh):user authentication request completed
SSH0:authentication successful for ssh109
SSH0:invalid request - 0x2500
SSH0:starting exec shell5:Authentication succeeded for user 'ssh' from 0.0.0.0/0 to 172.18.124.99/0 on interface SSH
109011:Authen Session Start:user 'ssh', sid 1
315002:Permitted SSH session from 172.18.124.99 on interface outside for user "ssh"

デバッグ - 3DES と 2048 ビット暗号
注:この出力は SSH を実行している PC からのもので、Solaris からのものではありません。

goss-d3-pix# Device opened successfully.
SSH:host key initialised.
SSH:SSH client:IP = '161.44.17.151' interface # = 1
SSH1:starting SSH control process
SSH1:Exchanging versions - SSH-1.5-Cisco-1.25
SSH1:client version is - SSH-1.5-W1.0
SSH1:declare what cipher(s) we support:0x00 0x00 0x00 0x0c
SSH1:SSH_SMSG_PUBLIC_KEY message sent
SSH1:SSH_CMSG_SESSION_KEY message received - MSG type 0x03, length 272
SSH1:client requests 3DES cipher:3.
SSH1:keys exchanged and encryption on
SSH1:authentication request for userid cse
SSH(cse):user authen method is 'use AAA', aaa server group ID = 3
SSH(cse):starting user authentication request, and waiting for reply from AAA server
SSH(cse):user 'cse' is authenticated
SSH(cse):user authentication request completed
SSH1:authentication successful for cse10900
SSH1:invalid request - 0x255:
SSH1:starting exec shellAuthentication succeeded for user 'cse' from 0.0.0.0/0 to 161.44.17.151/0 on interface SSH
109011:Authen Session Start:user 'cse', Sid 2
315002:Permitted SSH session from 161.44.17.151 on interface inside for user "cse"

考えられる問題

Solaris でのデバッグ - 2048 ビット暗号と Solaris SSH

注:Solaris は 2048 ビット暗号を処理できませんでした。

rtp-evergreen.cisco.com:Initializing random; seed file /export/home/cse/.ssh/random_seed
RSA key has too many bits for RSAREF to handle (max 1024).

RADIUS/TACACS+ サーバでのパスワードまたはユーザ名が正しくない

Device opened successfully.
SSH:host key initialised.
SSH:SSH client:IP = '161.44.17.151' interface # = 1
SSH1:starting SSH control process
SSH1:Exchanging versions - SSH-1.5-Cisco-1.25
SSH1:client version is - SSH-1.5-W1.0
SSH1:declare what cipher(s) we support:0x00 0x00 0x00 0x0c
SSH1:SSH_SMSG_PUBLIC_KEY message sent
SSH1:SSH_CMSG_SESSION_KEY message received - MSG type 0x03, length 272
SSH1:client requests 3DES cipher:3
SSH1:keys exchanged and encryption on
SSH1:authentication request for userid cse
SSH(cse):user authen method is 'use AAA', aaa server group ID = 3
SSH(cse):starting user authentication request, and waiting for reply from AAA serverss-d3-pix#
SSH(cse):user authentication for 'cse' failed
SSH(cse):user authentication request completed
SSH1:password authentication failed for cse
109006:Authentication failed for user 'cse' from 0.0.0.0/0 to 161.44.17.151/0 on interface SSH

次のコマンドでユーザが許可されない:
ssh 172.18.124.114 255.255.255.255 inside
Attempts to connect:
315001: Denied SSH session from 161.44.17.151 on interface inside

ca zero rsa コマンドを使用して)PIX からキーが削除された、または ca save all コマンドでキーが保存されていない

Device opened successfully.
SSH:unable to retrieve host public key for 'goss-d3-pix.rtp.cisco.com', terminate SSH connection.
SSH-2145462416:Session disconnected by SSH server - error 0x00 "Internal error"
315004:Fail to establish SSH session because PIX RSA host key retrieval failed.
315011: SSH session from 0.0.0.0 on interface outside for user "" disconnected by SSH server, reason:"Internal error" (0x00)

AAA サーバのダウン

SSH:host key initialised.
SSH:SSH client:IP = '172.18.124.114' interface # = 0
SSH0:starting SSH control process
SSH0:Exchanging versions - SSH-1.5-Cisco-1.25
SSH0:client version is - SSH-1.5-1.2.26
SSH0:declare what cipher(s) we support:0x00 0x00 0x00 0x0c
SSH0:SSH_SMSG_PUBLIC_KEY message sent302010:0 in use, 0 most used
SSH0:SSH_CMSG_SESSION_KEY message received - MSG type 0x03, length 144
SSH0:client requests 3DES cipher:3
SSH0:keys exchanged and encryption on
SSH0:authentication request for userid cse
SSH(cse):user authen method is 'use AAA', aaa server group ID = 3
SSH(cse):starting user authentication request, and waiting for reply from AAA server1090
SSH(cse):user authentication for 'cse' failed
SSH(cse):user authentication request completed
SSH0:password authentication failed for cse0
SSH0:authentication failed for cse
SSH0:Session disconnected by SSH server - error 0x03 "status code:0x03"
2:Auth from 0.0.0.0/0 to 172.18.124.114/0 failed (server 172.18.124.111 failed) on interface outside
109002:Auth from 0.0.0.0/0 to 172.18.124.114/0 failed (server 172.18.124.111 failed) on interface outside
109002:Auth from 0.0.0.0/0 to 172.18.124.114/0 failed (server 172.18.124.111 failed) on interface outside
109006:Authentication failed for user 'cse' from 0.0.0.0/0 to 172.18.124.114/0 on interface SSH
315003:SSH login session failed from 172.18.124.114 (1 attempts) on interface outside by user "cse"
315011:SSH session from 172.18.124.114 on interface outside for user "cse" disconnected by SSH server, reason:"status code:0x03" (0x03)
109012:Authen Session End:user 'cse', Sid 0, elapsed 352 seconds

クライアントには 3DES が設定されているが、PIX には DES キーしか設定されていない

注:クライアントは DES をサポートしていない Solaris でした。

GOSS-PIX# Device opened successfully.
SSH:host key initialised
SSH:license supports DES:1.
SSH:SSH client:IP = '172.18.124.114' interface # = 0
SSH0:starting SSH control process
SSH0:Exchanging versions - SSH-1.5-Cisco-1.25
SSH0:client version is - SSH-1.5-1.2.26
SSH0:declare what cipher(s) we support:0x00 0x00 0x00 0x04
SSH0:SSH_SMSG_PUBLIC_KEY message sent
SSH0:Session disconnected by SSH server - error 0x03 "status code:0x03"
315011:SSH session from 172.18.124.114 on interface outside for user "" disconnected by SSH server, reason:"status code:0x03" (0x03)

Solaris CLI の出力
Selected cipher type 3DES not supported by server.

PIX から RSA キーを削除する方法

ca zero rsa

RSA キーを PIX に保存する方法

ca save all

外部 SSH クライアントからの SSH を許可する方法

ssh outside_ip 255.255.255.255 outside

イネーブル認証

次のコマンドを使用すると

aaa authentication enable console topix

topix はサーバ リスト)、ユーザは TACACS または RADIUS サーバに送信するユーザ名とパスワードの入力を求められます。イネーブル用の認証パケットはログイン用の認証パケットと同じであるため、TACACS または RADIUS が設定された PIX にログインできるユーザは、同じユーザ名/パスワードで TACACS または RADIUS を通じてその PIX をイネーブルにすることができます。

この問題にはBug ID CSCdm47044 が割り当てられています。。CCO の登録ユーザとしてログインしている場合は、不具合の詳細を表示できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

syslog 情報

AAA アカウンティングが、PIX への接続ではなく、PIX を経由した接続に対してのみ有効な場合は、syslog を設定することで、認証ユーザによる操作についての情報を syslog サーバに送信できます(ネットワーク管理サーバを設定すれば、syslog MIB を通じてネットワーク管理サーバにも送信できます)。

syslog を設定すると、次のようなメッセージが syslog サーバに表示されます。

Logging trap notification level:
111006: Console Login from pixuser at console
111007:Begin configuration:10.31.1.40 reading from terminal
111008:User 'pixuser' executed the 'conf' command.
111008: User 'pixuser' executed the 'hostname' command.

Logging trap informational level (which includes notification level):
307002: Permitted Telnet login session from 10.31.1.40

AAA サーバのダウン時のアクセス方法

AAA サーバがダウンした場合は、最初に Telnet パスワードを入力し、次にユーザ名として pix、パスワードとしてイネーブル パスワード(enable password whatever)を入力することで、PIX にアクセスできます。enable password whatever が PIX 設定に含まれていない場合は、ユーザ名として pix を入力して Enter キーを押します。イネーブル パスワードが設定されていて、それがわからない場合は、パスワード復旧ディスクを使用してパスワードをリセットする必要があります。


ツール情報

その他のリソースについては、シスコの「セキュリティ テクノロジー用の TAC ツール」を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 8505