Sécurité : Appareil de sécurité de courriel Cisco

Comment est-ce que je m'assure que mon ESA reçoit seulement des connexions SSH des clients utilisant le SSH v2 ?

16 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit comment passer en revue et configurer des versions d'authentification de SSH sur l'appliance de sécurité du courrier électronique de Cisco (ESA).

Contribué par Chris Haag et Robert Sherwin, ingénieurs TAC Cisco.

Comment est-ce que je m'assure que mon ESA reçoit seulement des connexions SSH des clients utilisant le SSH v2 ?

L'ESA peut être configuré pour permettre des connexions de Protocole Secure Shell (SSH).  Les connexions SSH chiffrent le trafic entre l'hôte se connectant et l'ESA. Ceci protège les informations d'authentification comme le nom d'utilisateur et mot de passe. Il y a deux versions majeures du protocole de SSH : version 1 (SSH v1) et version 2 (SSH v2). Le SSH v2, étant plus récent, est plus sécurisé que le SSH v1, et beaucoup d'administrateurs ESA préfèrent ainsi permettre seulement des connexions des clients utilisant le SSH v2.

Sur des versions d'AsyncOS par 7.6.3, désactiver des connexions du SSH v1 peut être fait du CLI avec le sshconfig :

mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE

Sur des versions d'AsyncOS 8.x et plus nouveau, l'option de désactiver le SSH v1 n'existe pas avec le sshconfig.  Si le SSH v1 était activé avant la mise à jour de 8.x, le SSH v1 restera activé et accessible sur l'ESA, même après que la mise à jour est complète quoique tout le soutien du SSH v1 ait été enlevé. Ceci peut être une question pour les administrateurs qui réalisent des audits de sécurité réguliers et l'essai de traversée.

Car tout le soutien du SSH v1 a été enlevé, une demande de support doit être ouverte pour faire désactiver SSHv1.

Exécutez la commande suivante d'un hôte externe de Linux/Unix, ou toute autre connexion applicable CLI de choix, de confirmer si le SSH v1 est activé ou désactivé à l'ESA en question :

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2

La sortie prévue est des « versions majeures de Protocol diffèrent : 1 contre 2", qui signalerait que le SSH v1 est désactivé.  Sinon, et le SSH v1 est encore activé, vous verrez :

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.

AsyncOS 8.0.1 for Cisco IronPort C360 build 023

Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>

Cette sortie signalerait que le SSH v1 est encore en service et peut entraîner l'insécurité avec l'ESA après évolution de lui à 8.x ou plus nouveau.  Ceci peut être porté à la connaissance avec un test ou un audit de sécurité de traversée, et identifie un écart significatif.  Afin de corriger, vous devrez ouvrir une valise et une demande de support pour faire corriger ceci.  Vous devrez pouvoir fournir un tunnel de support de l'ESA pour le support technique de Cisco.

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 118639