Que signifie l'erreur « Quelqu'un tente de détourner la connexion chiffrée » ?

Options de téléchargement

  • PDF     (253.6 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (86.5 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (71.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:16 juillet 2015
ID du document:119177

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

Introduction

Ce document décrit l'erreur « Il est possible que quelqu'un tente de détourner la connexion chiffrée vers l'hôte distant » et les mesures correctives à prendre sur votre appareil de sécurité de la messagerie électronique Cisco (ESA) et votre appareil de gestion de la sécurité Cisco (SMA).

Que signifie l'erreur « Quelqu'un tente de détourner la connexion chiffrée » ?

Lorsque vous configurez votre communication ESA avec votre SMA, vous pouvez voir cette erreur :

Error - The host key for 172.16.6.165 appears to have changed.
It is possible that someone is trying to hijack the encrypted 
connection to the remote host. 
Please use the logconfig->hostkeyconfig command to verify 
(and possibly update) the SSH host key for 172.16.6.165.

Cela peut se produire lorsqu'un ESA est remplacé et utilise le même nom d'hôte et/ou la même adresse IP que l'ESA d'origine. Les clés SSH précédemment stockées utilisées dans la communication et l'authentification entre l'ESA et le SMA sont stockées sur le SMA. Le SMA constate alors que le chemin de communication ESA a changé et estime qu'une source non autorisée contrôle désormais l'adresse IP associée au ESA.

Afin de corriger ceci, connectez-vous à l'interface de ligne de commande du SMA et complétez ces étapes :

  1. Entrez la commande logconfig.
  2. Entrez hostkeyconfig.
  3. Saisissez delete et choisissez le numéro associé dans la liste de clés d'hôte actuellement installée pour l'adresse IP ESA.
  4. Retournez à l'invite de la CLI principale et entrez la commande commit.
mysma.local> logconfig

Currently configured logs:
 Log Name Log Type Retrieval Interval 
 ---------------------------------------------------------------------------------
 1. authentication Authentication Logs FTP Poll None 
 2. backup_logs Backup Logs FTP Poll None 
 3. cli_logs CLI Audit Logs FTP Poll None 
 4. euq_logs Spam Quarantine Logs FTP Poll None 
 5. euqgui_logs Spam Quarantine GUI Logs FTP Poll None 
 6. ftpd_logs FTP Server Logs FTP Poll None 
 7. gui_logs HTTP Logs FTP Poll None 
 8. haystackd_logs Haystack Logs FTP Poll None 
 9. ldap_logs LDAP Debug Logs FTP Poll None 
10. mail_logs Cisco Text Mail Logs FTP Poll None 
11. reportd_logs Reporting Logs FTP Poll None 
12. reportqueryd_logs Reporting Query Logs FTP Poll None 
13. slbld_logs Safe/Block Lists Logs FTP Poll None 
14. smad_logs SMA Logs FTP Poll None 
15. snmp_logs SNMP Logs FTP Poll None 
16. sntpd_logs NTP logs FTP Poll None 
17. system_logs System Logs FTP Poll None 
18. trackerd_logs Tracking Logs FTP Poll None 
19. updater_logs Updater Logs FTP Poll None 
20. upgrade_logs Upgrade Logs FTP Poll None 

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> hostkeyconfig

Currently installed host keys:
1. 172.16.6.165 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ilM...DVc7plDQ== 
2. 172.16.6.150 ssh-dss AAAAB3NzaC1kc3MAAACBAODKHq6uakiM...cooFXzLHFP 
3. 172.16.6.131 ssh-dss AAAAB3NzaC1kc3MAAACBAI4LkblFtidp...WhM5XLNA== 


Choose the operation you want to perform:
- NEW - Add a new key.
- EDIT - Modify a key.
- DELETE - Remove a key.
- SCAN - Automatically download a host key.
- PRINT - Display a key.
- HOST - Display system host keys.
- FINGERPRINT - Display system host key fingerprints.
- USER - Display system user keys.
[]> delete

Enter the number of the key you wish to delete.
[]> 1

Currently installed host keys:
1. 172.16.6.150 ssh-dss AAAAB3NzaC1kc3MAAACBAODKHq6uakiM...cooFXzLHFP 
2. 172.16.6.131 ssh-dss AAAAB3NzaC1kc3MAAACBAI4LkblFtidp...WhM5XLNA== 

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> 

Currently configured logs:
 Log Name Log Type Retrieval Interval 
 ---------------------------------------------------------------------------------
 1. authentication Authentication Logs FTP Poll None 
 2. backup_logs Backup Logs FTP Poll None 
 3. cli_logs CLI Audit Logs FTP Poll None 
 4. euq_logs Spam Quarantine Logs FTP Poll None 
 5. euqgui_logs Spam Quarantine GUI Logs FTP Poll None 
 6. ftpd_logs FTP Server Logs FTP Poll None 
 7. gui_logs HTTP Logs FTP Poll None 
 8. haystackd_logs Haystack Logs FTP Poll None 
 9. ldap_logs LDAP Debug Logs FTP Poll None 
10. mail_logs Cisco Text Mail Logs FTP Poll None 
11. reportd_logs Reporting Logs FTP Poll None 
12. reportqueryd_logs Reporting Query Logs FTP Poll None 
13. slbld_logs Safe/Block Lists Logs FTP Poll None 
14. smad_logs SMA Logs FTP Poll None 
15. snmp_logs SNMP Logs FTP Poll None 
16. sntpd_logs NTP logs FTP Poll None 
17. system_logs System Logs FTP Poll None 
18. trackerd_logs Tracking Logs FTP Poll None 
19. updater_logs Updater Logs FTP Poll None 
20. upgrade_logs Upgrade Logs FTP Poll None 

mysma.local> commit

Please enter some comments describing your changes:
[]> ssh key update 

Enfin, dans l'interface utilisateur graphique de SMA, choisissez Centralized Services > Security Appliances et sélectionnez l'ESA dans la liste qui avait présenté l'erreur d'origine.  Une fois que vous avez choisi d'établir la connexion... et de tester la connexion, il s'authentifie, crée une nouvelle paire de clés d'hôte SSH et stocke cette paire de clés d'hôte sur le SMA.  

Revenez à l'interface de ligne de commande du SMA et réexécutez logconfig > hostkeyconfig afin d'afficher la nouvelle paire de clés d'hôte.

Informations connexes

Historique de révision

Révision Date de publication Commentaires
1.0
16-Jul-2015
Première publication
TAC Authored

Contribution d’experts de Cisco

Ce document vous est-il utile?

FeedbackCommentaires

Contacter Cisco

Ce document s’applique à ces produits