المقدمة
يوضح هذا المستند كيفية مراجعة إصدارات مصادقة SSH وتكوينها على جهاز أمان البريد الإلكتروني (ESA) من Cisco.
كيف يمكنني التأكد من أن ESA لدي يقبل إتصالات SSH فقط من العملاء الذين يستخدمون SSH v2؟
يمكن تكوين ESA للسماح باتصالات Secure Shell (SSH). تقوم إتصالات SSH بتشفير حركة مرور البيانات بين المضيف المتصل و ESA. يحمي هذا معلومات المصادقة مثل اسم المستخدم وكلمات المرور. هناك إصداران رئيسيان من بروتوكول SSH: الإصدار 1 (SSH v1) والإصدار 2 (SSH v2). فالإصدار SSH v2، نظرا لأنه أحدث، أكثر أمانا من الإصدار الأول من بروتوكول SSH، وبالتالي فإن العديد من مسؤولي ESA يفضلون السماح فقط بالاتصالات من العملاء الذين يستخدمون الإصدار الثاني من بروتوكول SSH.
في إصدارات نظام التشغيل AsyncOS من خلال 7.6.3، يمكن القيام بتعطيل إتصالات SSH v1 من واجهة سطر الأوامر مع sshconfig:
mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE
في إصدارات AsyncOS 8.x والإصدارات الأحدث، لا يوجد خيار تعطيل SSH v1 مع sshconfig. إذا تم تمكين SSH v1 قبل ترقية 8.x، فسيظل الإصدار SSH v1 ممكنا ويمكن الوصول إليه على ESA، حتى بعد اكتمال الترقية على الرغم من إزالة جميع دعم SSH v1. قد تكون هذه مشكلة للمسؤولين الذين يقومون بإجراء عمليات تدقيق أمنية منتظمة واختبار الاختراق.
بما أنه قد تمت إزالة جميع دعم SSH v1، فيجب فتح طلب دعم لتعطيل SSHv1.
قم بتشغيل الأمر التالي من مضيف Linux/Unix خارجي، أو أي اتصال CLI آخر قابل للتطبيق يختاره، لتأكيد تمكين SSH v1 أو تعطيله إلى ESA المعني:
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2
الناتج المتوقع هو "تختلف الإصدارات الرئيسية للبروتوكول: 1 مقابل 2"، مما يشير إلى تعطيل SSH v1. إذا لم تكن هناك مساحة، وكان SSH v1 لا يزال ممكنا، فسوف ترى:
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.0.1 for Cisco IronPort C360 build 023
Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>
سيشير هذا الناتج إلى أن SSH v1 لا يزال قيد الاستخدام ويمكن أن يتسبب في انعدام الأمان مع ESA بعد ترقيته إلى 8.x أو أحدث. ويمكن لفت الانتباه إلى ذلك باختبار أختراق أو مراجعة أمنية، وتحديد ثغرة كبيرة. لإجراء تصحيح، سيتعين عليك فتح حالة دعم وطلب تصحيح هذا الأمر. ستحتاج إلى أن تكون قادرا على توفير نفق دعم من ESA لدعم Cisco الفني.
معلومات ذات صلة