Безопасность : устройства безопасности электронной почты Cisco ESA

Как я удостоверяюсь, что мой ESA только принимает SSH - подключения от клиентов, использующих SSH v2?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, как рассмотреть и настроить версии аутентификации SSH на Cisco Email Security Appliance (ESA).

Внесенный Крисом Хээгом и Робертом Шервином, специалистами службы технической поддержки Cisco.

Как я удостоверяюсь, что мой ESA только принимает SSH - подключения от клиентов, использующих SSH v2?

ESA может быть настроен для разрешения соединений Secure Shell (SSH). SSH - подключения шифруют трафик между соединяющимся хостом и ESA. Это защищает информацию для аутентификации как имя пользователя и пароли. Существует две основных версии протокола SSH: версия 1 (v1 SSH) и версия 2 (SSH v2). SSH v2, будучи более свежим, более безопасен, чем v1 SSH, и таким образом много администраторов ESA предпочитают только позволять соединения от клиентов, использующих SSH v2.

На версиях от AsyncOS до 7.6.3, отключая соединения v1 SSH может быть сделан от CLI с sshconfig:

mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE

На версиях AsyncOS 8.x и более новый, опция отключения v1 SSH не существует с sshconfig. Если v1 SSH был включен до обновления 8.x, v1 SSH останется включенным и доступным на ESA, даже после того, как обновление будет завершено даже при том, что  была удалена вся поддержка v1 SSH. Это может быть проблемой для администраторов , которые выполняют обычные проверки защиты и испытание на пенетрацию.

Когда вся поддержка v1 SSH была удалена, запрос поддержки должен быть открыт для имения отключенного SSHv1.

Выполните следующую команду от внешнего хоста Linux/Unix или другое применимое предпочтительное соединение CLI, чтобы подтвердить, включен ли v1 SSH или отключен к рассматриваемому ESA:

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2

Ожидаемые выходные данные являются "Основными версиями протокола, отличайтесь: 1 по сравнению с 2 дюймами, которые сигнализировали бы, что отключен v1 SSH. В противном случае и v1 SSH все еще включен, вы будете видеть:

robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.

AsyncOS 8.0.1 for Cisco IronPort C360 build 023

Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>

Эти выходные данные сигнализировали бы, что v1 SSH находится все еще в использовании и может вызвать ненадежность с ESA после обновления их к 8.x или более новый. Это может быть доведено до внимания с испытанием на пенетрацию или проверкой защиты, и определить значительный разрыв. Для исправления необходимо будет открыть случай поддержки и запросить исправить это. Необходимо будет быть в состоянии предоставить туннель поддержки от ESA для технической поддержки Cisco.

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.