Базовая настройка шифрования в Cisco ASA

Первым делом после установки лицензии надо сгенерировать сертификаты и настроить шифрование для ASDM, эти же настройки дадут A+/A- в тесте от SSL Lab:

crypto key generate rsa modulus 2048
crypto key generate ecdsa elliptic-curve 256
ssl server-version tlsv1.2
ssl client-version tlsv1.2
ssl dh-group group14
ssl ecdh-group group19
ssl cipher default custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"
ssl cipher tlsv1.2 custom "ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA256"

Настройки соответствуют рекомендациям Mozilla с добавлением ECDHE-RSA-AES128-SHA256 для максимальной совместимости. На ASA 5506/5508/5516 изменить server-version можно только через CLI из-за отсутствия DTLS 1.2 в этих платформах.

И бонусом SSH:

ssh version 2
ssh key-exchange group dh-group14-sha256
ssh cipher integrity custom hmac-sha2-256:hmac-sha1
ssh cipher encryption custom aes256-ctr:aes192-ctr:aes128-ctr

AES-GCM, ChaCha20-Poly1305 и Ed25519 появились только в 9.16, а настройки выше достаточно безопасны и работают в пока ещё актуальной версии 9.12 для ASA 5500-X.