فهم خوارزميات تشفير SSH على تصحيح ISE 3.3 4

المقدمة

يصف هذا المستند حول خوارزميات تشفير SSH على تصحيح ISE الإصدار 3.3 4

المتطلبات الأساسية

أنت ينبغي يتلقى المعرفة الأساسية من ال cisco خدمة هوية محرك (ISE)

المعرفة حول بروتوكول SSH

معرفة خوارزميات مفتاح المضيف

المكونات المطلوبة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية

• البرنامج Cisco Identity Services Engine 3.3 Patch 4

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الأهداف

قم بتطوير أوامر واجهة سطر الأوامر (CLI) وتنفيذها لدعم خوارزميات بروتوكول طبقة الأمان (SSH) القابلة للتكوين، ومعالجة نقاط الضعف الأمنية وفقا لمتطلباتك.

الفوائد الوظيفية

1. توافق أمان SSH المحسن مع إرشادات NIST.
2. خيارات تكوين مرنة لخوارزميات SSH للوفاء بسياسات أمان معينة.

الميزات الرئيسية التي تم تنفيذها

1. خوارزمية HostKey و Hostkey القابلة للتكوين من CLI.
2. دعم ECDSA-SHA2-NISTP256 ومفتاح المضيف ED.
3. دعم إتصالات HMAC-SHA2-256 و HMAC-SHA2-512 الآمنة ل SSH

أوامر CLI

• خوارزمية مفتاح مضيف SSH للخدمة
• مفتاح مضيف SSHd للخدمة
• خوارزمية Service SSHd Host-key
• خوارزمية SSHd للخدمة

خوارزمية SSH HostKey القابلة للتكوين 

لتكوين خوارزمية SSH HostKey لاتصالات الخادم الخارجية

الأمر: خوارزمية ASC-ise33p4/admin(config)# service ssh host-key ؟

الإكمال المحتمل:

  ecdsa-sha2-nistp256 تكوين ecdsa-sha2-nistp256 algo

  تكوين rsa-sha2-256 ل rsa-sha2-256 algo

  تكوين rsa-sha2-512 algo rsa-sha2-512

  تكوين SSH-rsa algo

ملاحظة: هذا بالنسبة ل SSH

خوارزمية SSHD HostKey القابلة للتكوين 

لتكوين مفتاح مضيف SSHd لمصادقة خادم SSH.

الأمر: ASC-ise33p4/admin(config)# service sshd host-key ؟

الإكمال المحتمل:

  host-ecdsa-256 تكوين مضيف SSH ecdsa 256 مفتاح

  host-ed25519 تكوين مضيف SSH ed25519 مفتاح

  host-rsa تكوين مفتاح rsa لمضيف SSH

لتكوين خوارزمية مفتاح مضيف SSH لمصادقة خادم SSH.

الأمر: ASC-ise33p4/admin(config)#service sshd host-key-algorithm ؟

الإكمال المحتمل:

  ecdsa-sha2-nistp256 تكوين ecdsa-sha2-nistp256 algo

  تكوين rsa-sha2-256 ل rsa-sha2-256 algo

  تكوين rsa-sha2-512 algo rsa-sha2-512

  ssh-ed25519 شكلت SSH-ed25519 algo

لتكوين خوارزمية SSHd MAC لمصادقة خادم SSH.

الأمر: ASC-ise33p4/admin(config)#service SSHD mac-algorithm ؟

الإكمال المحتمل:

  hmac-sha1 شكلت hmac-sha1 algo

  hmac-sha1-etm-openssh.com شكلت hmac-sha1-etm-openssh.com algo

  hmac-sha2-256 تكوين hmac-sha2-256 algo

  hmac-sha2-256-etm-openssh.com تكوين hmac-sha2-256-etm@openssh.com algo

  hmac-sha2-512 شكلت hmac-sha2-512 algo

  hmac-sha2-512-etm-openssh.com تكوين hmac-sha2-512-etm@openssh.com algo

ملاحظة: هذا من أجل SSHd

استكشاف الأخطاء وإصلاحها

التحقق من الصحة

بروتوكول النقل الآمن (SSH):
isepri33/admin(config)#service ssh host-key-algorithm ecdsa-sha2-nistp256

isepri33/admin#show running-config service ssh
service ssh host-key-algorithm ecdsa-sha2-nistp256

س.ش.د:

isepri33/admin(config)#service sshd host-key-algorithm ecdsa-sha2-nistp256

isepri33/admin#show running-config service sshd
تمكين خادم الخدمة
service sshd encryption-algorithm128-ctr aes128-gcm-openssh.com aes256-ctr aes256-gcm-openssh.com chacha20-poly1305-openssh.com
service sshd host-key-algorithm ecdsa-sha2-nistp256
service sshd mac-algorithm hmac-sha1 hmac-sha2-256 hmac-sha2-512
service sshd host-key host-rsa

قصاصة السجل:

isepri33/admin#show logging system confd/confd.log
2025-03-18 08:35:25،241 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح
2025-03-18 08:35:39،056 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:35:39،260 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح

2025-03-18 08:48:20،194 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:48:20،396 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح
2025-03-18 08:48:20،400 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح
2025-03-18 08:49:00،442 [معلومات] service_conf.py update_host_key_algorithms line:567 خوارزميات مفتاح المضيف: ecdsa-sha2-nistp256
2025-03-18 08:49:00،672 [INFO] service_conf.py restart_sshd line:259 تمت إعادة تشغيل SSHd بنجاح
2025-03-18 08:49:00،674 [معلومات] service_conf.py update_host_key_algorithms line:575 خوارزميات مفاتيح مضيف SSH المحدثة بنجاح

الأسئلة الشائعة

سؤال: ما هي خوارزمية مفتاح مضيف SSH الافتراضية الممكنة على ISE؟

الإجابة: وهي كما يلي:

• rsa-sha2-256
• rsa-sha2-512              

سؤال: ما هي خوارزمية مفتاح SSHd MAC الافتراضية؟

الإجابة: وهي كما يلي:

•   hmac-sha1                                        
•   hmac-sha2-256                                
•   hmac-sha2-512                                

سؤال: ما هو مفتاح مضيف SSH الافتراضي؟

الإجابة: host-rsa

سؤال: ما هو مفتاح مضيف SSH الافتراضي؟

الإجابة: وهي كما يلي:

•   rsa-sha2-256             
•   rsa-sha2-512              
•   ssh-rsa