Cisco ASA¶

July 20, 2024
in Cisco, Cisco ASA, Cisco CML
3 min read

ASAv の CiscoSSH スタック有効 / 無効時で CVE-2024-6387 の影響有無を確認する

通称「regreSSHion」こと CVE-2024-6387 ですが、Remote Unauthenticated Code Execution Vulnerability in OpenSSH Server (regreSSHion): July 2024 には ASA の修正バージョンは以下と記載されています。

9.18.4.34

9.20.3 (Aug 2023)

CSCwk62296 - Address SSP OpenSSH regreSSHion vulnerability には以下の記載があります。

Conditions:

Please not that not all past software releases are affected, this is due to the fact that OpenSSH is either not in use or included in a version that is not affected by this CVE.

For ASA:

releases up to 9.16 (included) are NOT affected

releases 9.17 and 9.18 are affected, only if CiscoSSH is configured on the ASA. By default, CiscoSSH is not configured.

For FTD:

releases up to 7.0.6 (included) are NOT affected

今回は「ASAv の CiscoSSH スタック有効時 / 無効時」各々で CVE-2024-6387 の影響有無を確認してみます。

July 8, 2024
in Cisco, Cisco ASA
2 min read

ASAv での OSPF 設定例 (Broadcast / Point-to-Point)

Cisco ASA での OSPF 設定例をメモしておきます。

February 4, 2024
in Cisco, Cisco ASA
7 min read

ASAv のバージョン毎の ssl server-version デフォルト値

Cisco Community に ASA 9.3(2)以降: TLS 1.2のサポートについてという記事があり、以下のように記載されています。

ASA バージョン 9.2以下での TLS 1.2のサポート予定は、2015年6月現在ありません。TLS 1.2のサポートには大きな機能拡張が必要であり、影響が大きいためです。

ASA 9.3(2) 以降は TLS 1.2 をサポートしているようですが、OS バージョンによってデフォルト値は異なるようです。今回はいくつかのバージョンの ASAv インスタンスを作成し、ssl server-version のデフォルト値を確認してみました。

January 18, 2024
in Cisco, Cisco ASA
2 min read

Cisco ASA で VPN 接続時、最初の通信に失敗する？？

macOS をあるバージョンにアップグレードしたタイミングから「VPN 接続中、Web アクセスすると初回は失敗する。リロードすると成功する」という事象に悩まされていました… 具体的には初回 Web アクセスが ERR_SOCKET_NOT_CONNECTED という Web ブラウザのエラーで失敗します。

file

あれこれ調べていたのですが Cisco AnyConnect and IPv6 という記事で以下の記載を見つけました。

If you are a network engineer in this day and age, then you are probably familiar with and regularly using IPv6 (at least on your home lab network). I personally run my home network dual-stacked and have been recently annoyed by how VPN clients (mostly Cisco AnyConnect) handle dual-stacked clients. I have found that when left unconfigured (using defaults), AnyConnect likes to dump all IPv6 traffic silently on dual-stacked clients. This causes IPv6 enabled public websites and services (just the unpopular ones…like Google, YouTube, Facebook, etc) to hang while trying to connect using the looked up AAAA DNS record.

Here are a few tricks I have found to configure AnyConnect to properly handle dual-stacked clients to keep those eyeballs happy. The IPv6 must flow!

January 16, 2024
in Cisco, Cisco ASA, Cisco IOS, Cisco IOS-XE, Cisco NX-OS
2 min read

Cisco ASA, IOS, IOS-XE, NX-OS, XR へ鍵交換方式で SSH する設定例

Cisco ASA, IOS, IOS-XE, NX-OS, XR へ鍵交換方式で SSH ログインする設定をメモしておきます。

November 27, 2023
in Cisco ASA
1 min read

Cisco ASA で outside → inside 向きの NAT/NAPT を設定する

以前に Cisco ASA での基本的な NAT 設定例というメモを書きました。改めて ASA で outside → inside へ NAT / PAT する設定例をメモしておきます。今回は「クライアントからの宛先アドレスは ASA の outside アドレス」という前提とします。