Firewall Cisco ASA auto enable y SSH con PKI

Auto Enable, como su nombre indica, es una funcionalidad de los firewalls Cisco ASA que evita tener que poner el “enable password” si el usuario que accede tiene suficiente “privilege level”.

Configuración:

aaa authorization exec LOCAL auto-enable

SSH con PKI:

Podemos acceder al firewall por SSH usando un par de llaves pública y privada.
Configuración:

username miusuario password supersecreto privilege 15
username miusuario attributes
  ssh authentication publickey \llave pública RSA\

Nota: Actualmente, “Auto Enable” no funciona para acceder por SSH si usamos PKI y la release de software es inferior a 9.4(1.99).

Por lo tanto, si usamos PKI para acceder por ssh, entraremos correctamente en el sistema pero no en modo privilegiado.
Comprobación:

xavi@smaug:~/bitbucket$ ssh miusuario@10.199.5.1
Type help or '?' for a list of available commands.
firewall-cisco-asa> show curpriv 
Username : miusuario
Current privilege level : 1
Current Mode/s : P_UNPR

Como workaround, podemos pasarle el password de enable y usando nuestra llave privada entraremos directamente en modo privilegiado. Supongamos que el password de enable es “password_1”

xavi@smaug:~/bitbucket$ ssh miusuario@10.199.5.1 $'enable\npassword_1\n'
Type help or '?' for a list of available commands.
firewall-cisco-asa> enable
Password: ********
firewall-cisco-asa# 

Te podría interesar:
https://capa3.es/cisco-ios-gestion-automatizada-con-ssh-y-pki.html

Leave a Reply

Your email address will not be published. Required fields are marked *