セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA が SSH v2 を使用しているクライアントからの SSH 接続だけを許可することをどのように確かめますか。

2015 年 11 月 25 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

この資料に Cisco E メール セキュリティ アプライアンス(ESA)の SSH 認証 バージョンを検討し設定する方法を記述されています。

著者:Cisco TAC エンジニア、Chris Haag と Robert Sherwin

ESA が SSH v2 を使用しているクライアントからの SSH 接続だけを許可することを確かめる方法

ESA はセキュア シェル(SSH)接続を許可するために設定することができます。  ホストおよび ESA の接続間の SSH 接続暗号化 トラフィック。 これはユーザ名 および パスワードのような認証情報を保護します。 SSH プロトコルの 2 つの主要なバージョンがあります: バージョン 1 (SSH v1)およびバージョン 2 (SSH v2)。 SSH v2 は、最近で、SSH v1 よりセキュアであり、こうして多くの ESA 管理者は SSH v2 を使用しているクライアントからの接続しか許可しないことを好みます。

7.6.3 による AsyncOS のバージョンで、SSH v1 接続をディセーブルにすることは sshconfig との CLI からすることができます:

mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE

AsyncOS 8.x のバージョンでおよびより新しい、SSH v1 をディセーブルにするオプションは sshconfig とありません。  SSH v1 が 8.x のアップグレード前に有効に なった場合、SSH v1 のためのすべてのサポートが取除かれたのにアップグレードが完了する後でさえも、SSH v1 は ESA でイネーブルになり、アクセス可能に残ります。 これは規則的なセキュリティ監査および侵入テストを行う管理者のための問題であるかもしれません。

SSH v1 のためのすべてのサポートが取除かれたので SSHv1 をディセーブルにしてもらうために、サポート 要求は開く必要があります。

SSH v1 が疑わしい ESA へイネーブルまたはディセーブルであるかどうか確認するために外部 Linux/UNIXホストから次のコマンド、か選択の他の適当な CLI 接続を、実行して下さい:

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2

期待された 出力は「プロトコル 主要なバージョン異なりますです: SSH v1 は無効であることに信号を送る 2" 対 1。  そうでなかったら、SSH v1 はまだ有効に なり、見ます:

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.

AsyncOS 8.0.1 for Cisco IronPort C360 build 023

Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>

この出力は SSH v1 がまだ使用中である信号を送り、8.x へのそれをアップグレードした後でまたはより新しいことに ESA の危険を引き起こす場合があります。  これは貫入試験またはセキュリティ監査の注意に持って来られるかもしれ重要なギャップを識別します。  訂正するために、これを訂正してもらうようにサポート ケースおよび要求を開く必要があります。  テクニカル サポートに ESA からのサポート トンネルを提供できる必要があります。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118639