Qual è il significato dell'errore "prova a dirottare la connessione crittografata"?

Opzioni per il download

  • PDF     (253.9 KB)
    Visualizza con Adobe Reader su diversi dispositivi
  • ePub     (87.2 KB)
    Visualizza in diverse app su iPhone, iPad, Android, Sony Reader o Windows Phone
  • Mobi (Kindle)     (71.9 KB)
    Visualizza su dispositivo Kindle o tramite app Kindle su più dispositivi
Aggiornato:16 luglio 2015
ID documento:119177

Linguaggio senza pregiudizi

La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.

Informazioni su questa traduzione

Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).

Introduzione

In questo documento viene descritto l'errore "È possibile che qualcuno stia tentando di dirottare la connessione crittografata all'host remoto" e vengono indicate le azioni correttive da intraprendere su Cisco Email Security Appliance (ESA) e Cisco Security Management Appliance (SMA).

Qual è il significato dell'errore "prova a dirottare la connessione crittografata"?

Quando si configura la comunicazione ESA con l'SMA, è possibile che venga visualizzato questo errore:

Error - The host key for 172.16.6.165 appears to have changed.
It is possible that someone is trying to hijack the encrypted 
connection to the remote host. 
Please use the logconfig->hostkeyconfig command to verify 
(and possibly update) the SSH host key for 172.16.6.165.

Questa condizione si può verificare quando un'ESA viene sostituita e usa lo stesso nome host e/o indirizzo IP dell'ESA originale. Le chiavi SSH precedentemente memorizzate utilizzate nella comunicazione e nell'autenticazione tra l'ESA e l'SMA vengono memorizzate nell'SMA. L'SMA rileva quindi che il percorso di comunicazione dell'ESA è cambiato e ritiene che un'origine non autorizzata abbia ora il controllo dell'indirizzo IP associato all'ESA.

Per risolvere questo problema, accedere alla CLI dello SMA e completare i seguenti passaggi:

  1. Immettere il comando logconfig.
  2. Immettere hostkeyconfig.
  3. Immettere delete e scegliere il numero associato nell'elenco di chiavi host attualmente installato per l'indirizzo IP ESA.
  4. Tornare al prompt della CLI principale e immettere il comando commit.
mysma.local> logconfig

Currently configured logs:
 Log Name Log Type Retrieval Interval 
 ---------------------------------------------------------------------------------
 1. authentication Authentication Logs FTP Poll None 
 2. backup_logs Backup Logs FTP Poll None 
 3. cli_logs CLI Audit Logs FTP Poll None 
 4. euq_logs Spam Quarantine Logs FTP Poll None 
 5. euqgui_logs Spam Quarantine GUI Logs FTP Poll None 
 6. ftpd_logs FTP Server Logs FTP Poll None 
 7. gui_logs HTTP Logs FTP Poll None 
 8. haystackd_logs Haystack Logs FTP Poll None 
 9. ldap_logs LDAP Debug Logs FTP Poll None 
10. mail_logs Cisco Text Mail Logs FTP Poll None 
11. reportd_logs Reporting Logs FTP Poll None 
12. reportqueryd_logs Reporting Query Logs FTP Poll None 
13. slbld_logs Safe/Block Lists Logs FTP Poll None 
14. smad_logs SMA Logs FTP Poll None 
15. snmp_logs SNMP Logs FTP Poll None 
16. sntpd_logs NTP logs FTP Poll None 
17. system_logs System Logs FTP Poll None 
18. trackerd_logs Tracking Logs FTP Poll None 
19. updater_logs Updater Logs FTP Poll None 
20. upgrade_logs Upgrade Logs FTP Poll None 

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> hostkeyconfig

Currently installed host keys:
1. 172.16.6.165 ssh-rsa AAAAB3NzaC1yc2EAAAABIwAAAQEA0ilM...DVc7plDQ== 
2. 172.16.6.150 ssh-dss AAAAB3NzaC1kc3MAAACBAODKHq6uakiM...cooFXzLHFP 
3. 172.16.6.131 ssh-dss AAAAB3NzaC1kc3MAAACBAI4LkblFtidp...WhM5XLNA== 


Choose the operation you want to perform:
- NEW - Add a new key.
- EDIT - Modify a key.
- DELETE - Remove a key.
- SCAN - Automatically download a host key.
- PRINT - Display a key.
- HOST - Display system host keys.
- FINGERPRINT - Display system host key fingerprints.
- USER - Display system user keys.
[]> delete

Enter the number of the key you wish to delete.
[]> 1

Currently installed host keys:
1. 172.16.6.150 ssh-dss AAAAB3NzaC1kc3MAAACBAODKHq6uakiM...cooFXzLHFP 
2. 172.16.6.131 ssh-dss AAAAB3NzaC1kc3MAAACBAI4LkblFtidp...WhM5XLNA== 

Choose the operation you want to perform:
- NEW - Create a new log.
- EDIT - Modify a log subscription.
- DELETE - Remove a log subscription.
- SETUP - General settings.
- LOGHEADERS - Configure headers to log.
- HOSTKEYCONFIG - Configure SSH host keys.
[]> 

Currently configured logs:
 Log Name Log Type Retrieval Interval 
 ---------------------------------------------------------------------------------
 1. authentication Authentication Logs FTP Poll None 
 2. backup_logs Backup Logs FTP Poll None 
 3. cli_logs CLI Audit Logs FTP Poll None 
 4. euq_logs Spam Quarantine Logs FTP Poll None 
 5. euqgui_logs Spam Quarantine GUI Logs FTP Poll None 
 6. ftpd_logs FTP Server Logs FTP Poll None 
 7. gui_logs HTTP Logs FTP Poll None 
 8. haystackd_logs Haystack Logs FTP Poll None 
 9. ldap_logs LDAP Debug Logs FTP Poll None 
10. mail_logs Cisco Text Mail Logs FTP Poll None 
11. reportd_logs Reporting Logs FTP Poll None 
12. reportqueryd_logs Reporting Query Logs FTP Poll None 
13. slbld_logs Safe/Block Lists Logs FTP Poll None 
14. smad_logs SMA Logs FTP Poll None 
15. snmp_logs SNMP Logs FTP Poll None 
16. sntpd_logs NTP logs FTP Poll None 
17. system_logs System Logs FTP Poll None 
18. trackerd_logs Tracking Logs FTP Poll None 
19. updater_logs Updater Logs FTP Poll None 
20. upgrade_logs Upgrade Logs FTP Poll None 

mysma.local> commit

Please enter some comments describing your changes:
[]> ssh key update 

Infine, dalla GUI di SMA, selezionare Centralized Services > Security Appliance (Servizi centralizzati > Appliance di sicurezza), quindi selezionare l'ESA nell'elenco che ha presentato l'errore originale.  Dopo aver scelto Establish Connection e Test Connection, l'autenticazione, la creazione di una nuova coppia di chiavi host SSH e la memorizzazione nella chiave SMA vengono eseguiti automaticamente.  

Rivedere la CLI per lo SMA ed eseguire nuovamente logconfig > hostkeyconfig per visualizzare la nuova coppia di chiavi host.

Informazioni correlate

Cronologia delle revisioni

Revisione Data di pubblicazione Commenti
1.0
16-Jul-2015
Versione iniziale
TAC Authored

Contributo dei tecnici Cisco

Questo documento ti è stato utile?

FeedbackFeedback

Contattaci

Questo documento si applica a questi prodotti