المقدمة
يصف هذا المستند حول خوارزميات تشفير SSH على تصحيح ISE الإصدار 3.3 4
المتطلبات الأساسية
أنت ينبغي يتلقى المعرفة الأساسية من ال cisco خدمة هوية محرك (ISE)
المعرفة حول بروتوكول SSH
معرفة خوارزميات مفتاح المضيف
المكونات المطلوبة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية
- البرنامج Cisco Identity Services Engine 3.3 Patch 4
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
الأهداف
قم بتطوير أوامر واجهة سطر الأوامر (CLI) وتنفيذها لدعم خوارزميات بروتوكول طبقة الأمان (SSH) القابلة للتكوين، ومعالجة نقاط الضعف الأمنية وفقا لمتطلباتك.
الفوائد الوظيفية
- توافق أمان SSH المحسن مع إرشادات NIST.
- خيارات تكوين مرنة لخوارزميات SSH للوفاء بسياسات أمان معينة.
الميزات الرئيسية التي تم تنفيذها
- خوارزمية HostKey و Hostkey القابلة للتكوين من CLI.
- دعم ECDSA-SHA2-NISTP256 ومفتاح المضيف ED.
- دعم إتصالات HMAC-SHA2-256 و HMAC-SHA2-512 الآمنة ل SSH
أوامر CLI
- خوارزمية مفتاح مضيف SSH للخدمة
- مفتاح مضيف SSHd للخدمة
- خوارزمية Service SSHd Host-key
- خوارزمية SSHd للخدمة
خوارزمية SSH HostKey القابلة للتكوين
لتكوين خوارزمية SSH HostKey لاتصالات الخادم الخارجية
الأمر: خوارزمية ASC-ise33p4/admin(config)# service ssh host-key ؟
الإكمال المحتمل:
ecdsa-sha2-nistp256 تكوين ecdsa-sha2-nistp256 algo
تكوين rsa-sha2-256 ل rsa-sha2-256 algo
تكوين rsa-sha2-512 algo rsa-sha2-512
تكوين SSH-rsa algo
ملاحظة: هذا بالنسبة ل SSH
خوارزمية SSHD HostKey القابلة للتكوين
لتكوين مفتاح مضيف SSHd لمصادقة خادم SSH.
الأمر: ASC-ise33p4/admin(config)# service sshd host-key ؟
الإكمال المحتمل:
host-ecdsa-256 تكوين مضيف SSH ecdsa 256 مفتاح
host-ed25519 تكوين مضيف SSH ed25519 مفتاح
host-rsa تكوين مفتاح rsa لمضيف SSH
لتكوين خوارزمية مفتاح مضيف SSH لمصادقة خادم SSH.
الأمر: ASC-ise33p4/admin(config)#service sshd host-key-algorithm ؟
الإكمال المحتمل:
ecdsa-sha2-nistp256 تكوين ecdsa-sha2-nistp256 algo
تكوين rsa-sha2-256 ل rsa-sha2-256 algo
تكوين rsa-sha2-512 algo rsa-sha2-512
ssh-ed25519 شكلت SSH-ed25519 algo
لتكوين خوارزمية SSHd MAC لمصادقة خادم SSH.
الأمر: ASC-ise33p4/admin(config)#service SSHD mac-algorithm ؟
الإكمال المحتمل:
hmac-sha1 شكلت hmac-sha1 algo
hmac-sha1-etm-openssh.com شكلت hmac-sha1-etm-openssh.com algo
hmac-sha2-256 تكوين hmac-sha2-256 algo
hmac-sha2-256-etm-openssh.com تكوين hmac-sha2-256-etm@openssh.com algo
hmac-sha2-512 شكلت hmac-sha2-512 algo
hmac-sha2-512-etm-openssh.com تكوين hmac-sha2-512-etm@openssh.com algo
استكشاف الأخطاء وإصلاحها
التحقق من الصحة
بروتوكول النقل الآمن (SSH):
isepri33/admin(config)#service ssh host-key-algorithm ecdsa-sha2-nistp256
isepri33/admin#show running-config service ssh
service ssh host-key-algorithm ecdsa-sha2-nistp256
س.ش.د:
isepri33/admin(config)#service sshd host-key-algorithm ecdsa-sha2-nistp256
isepri33/admin#show running-config service sshd
تمكين خادم الخدمة
service sshd encryption-algorithm128-ctr aes128-gcm-openssh.com aes256-ctr aes256-gcm-openssh.com chacha20-poly1305-openssh.com
service sshd host-key-algorithm ecdsa-sha2-nistp256
service sshd mac-algorithm hmac-sha1 hmac-sha2-256 hmac-sha2-512
service sshd host-key host-rsa
قصاصة السجل:
isepri33/admin#show logging system confd/confd.log
2025-03-18 08:35:25،241 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح
2025-03-18 08:35:39،056 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:35:39،260 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح
2025-03-18 08:48:20،194 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:48:20،396 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح
2025-03-18 08:48:20،400 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح
2025-03-18 08:49:00،442 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:49:00،672 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح
2025-03-18 08:49:00،674 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح
الأسئلة الشائعة
سؤال: ما هي خوارزمية مفتاح مضيف SSH الافتراضية الممكنة على ISE؟
الإجابة: وهي كما يلي:
- rsa-sha2-256
- rsa-sha2-512
سؤال: ما هي خوارزمية مفتاح SSHd MAC الافتراضية؟
الإجابة: وهي كما يلي:
- hmac-sha1
- hmac-sha2-256
- hmac-sha2-512
سؤال: ما هو مفتاح مضيف SSH الافتراضي؟
الإجابة: host-rsa
سؤال: ما هو مفتاح مضيف SSH الافتراضي؟
الإجابة: وهي كما يلي:
- rsa-sha2-256
- rsa-sha2-512
- ssh-rsa