The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"замена SSH порта на ASA"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Другое оборудование)
Изначальное сообщение [ Отслеживать ]

"замена SSH порта на ASA"  +/
Сообщение от ramsoncat (ok) on 27-Окт-14, 11:31 
Общий привет.
Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа по SSH?
Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security Plus. Software Version 9.2(2)4
Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "замена SSH порта на ASA"  +/
Сообщение от Merridius (ok) on 27-Окт-14, 16:11 
> Общий привет.
> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
> по SSH?
> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
> Plus. Software Version 9.2(2)4

Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все равно же аклом разрешаешь кому можно а кому нет.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "замена SSH порта на ASA"  +/
Сообщение от ShyLion (ok) on 27-Окт-14, 16:14 
>> Общий привет.
>> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
>> по SSH?
>> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
>> Plus. Software Version 9.2(2)4
> Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все
> равно же аклом разрешаешь кому можно а кому нет.

Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт перебирать пароли ssh  - явление редкое.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "замена SSH порта на ASA"  +/
Сообщение от ramsoncat (ok) on 27-Окт-14, 18:11 
>>> Общий привет.
>>> Кто-нибудь знает, каким образом заменить стандартный 22 порт на ASA для доступа
>>> по SSH?
>>> Простого решения, наподобие ip ssh port rotary, на ASA нет. ASA5505 Security
>>> Plus. Software Version 9.2(2)4
>> Нельзя на асе порт сменить. Да и зачем? не вижу смысла, все
>> равно же аклом разрешаешь кому можно а кому нет.
> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
> перебирать пароли ssh  - явление редкое.

Я почти уверен, что это можно сделать при помощи статического NAT. Но вот как именно это реализуется, я и хотел бы узнать.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "замена SSH порта на ASA"  +/
Сообщение от sTALK_specTrum on 29-Окт-14, 13:22 
> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
> перебирать пароли ssh  - явление редкое.

Сугубо IMHO:
Лучше конечно полностью закрыть от инета прямое админство. Понятно, что есть нужда лазить удалённо, но если это не SOHO-локалка, то наверняка ведь не одна ASA. Так лучше устроить проброс нестандартного порта на некий внутренний хост, на которм в меру умения запилить SSH/RDP/VPN-доступ. А с него уже на любой сервак, коммутатор и чего ещё там.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "замена SSH порта на ASA"  +/
Сообщение от Merridius (ok) on 29-Окт-14, 13:35 
>> Ну это такой условный метод защиты от ботнетов. Всетаки на нестандартный порт
>> перебирать пароли ssh  - явление редкое.
> Сугубо IMHO:
> Лучше конечно полностью закрыть от инета прямое админство. Понятно, что есть нужда
> лазить удалённо, но если это не SOHO-локалка, то наверняка ведь не
> одна ASA. Так лучше устроить проброс нестандартного порта на некий внутренний
> хост, на которм в меру умения запилить SSH/RDP/VPN-доступ. А с него
> уже на любой сервак, коммутатор и чего ещё там.

Да собственно на самой асе можно включить Anyconnect VPN и не парить себе мозг.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "замена SSH порта на ASA"  +/
Сообщение от sTALK_specTrum on 29-Окт-14, 15:10 
> Да собственно на самой асе можно включить Anyconnect VPN и не парить
> себе мозг.

Согласен. Тоже вариант, для 5505 ещё есть Easy VPN, не пробовал.
Только вот понятие "не парить мозг" может быть разное. =)
Я так - условно картинку нарисую, оффтоп-теоретически, не поймите чего не того.

Итак. Надо на disk0: иметь какой-нить недревний anyconnect-*.pkg. Не знаю, как там сейчас наша криптоненавистная таможня - такое пропускает ли в поставках?

Ну ладно, неважно как - файлик есть. Без начального опыта настроить грамотно такое в CLI - увлекательный квест, знаем-плавали, и КонфиГайды неплохие, но... Да и сама Cisco, тварь такая, в мануалах теперь полюбила скриншоты ASDM рисовать. Значит ещё файлик нужен, а есть ли он? ;)

Опять ладно, работаем, к хорошему привыкаем, растём над собой и вдруг - больше двух одновременных коннектов низя, а уже хочется. Получить же activation-key для Essentials/Mobile - "ну ты понел" (c).

Чешем репу и решаем. Чёрт с ымя, пусть даже если c nix'ами не дружим, чо у нас в сети всегда есть? Сервачок 1С. =)_) PPTP, или ещё кого там на винде запиливать лень, ну так высовываем RDP наружу на какой-нить 33389 порт, "и не парить себе моск".  =)))

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "замена SSH порта на ASA"  +/
Сообщение от ramsoncat (ok) on 01-Ноя-14, 06:30 
Коллеги, всем спасибо!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру