소개
이 문서에서는 Cisco ESA(Email Security Appliance)에서 SSH 인증 버전을 검토하고 구성하는 방법에 대해 설명합니다.
SSH v2를 사용하는 클라이언트의 SSH 연결만 ESA에서 허용하려면 어떻게 해야 합니까?
SSH(Secure Shell) 연결을 허용하도록 ESA를 구성할 수 있습니다. SSH 연결은 연결 호스트와 ESA 간의 트래픽을 암호화합니다.이렇게 하면 사용자 이름 및 비밀번호와 같은 인증 정보가 보호됩니다.SSH 프로토콜의 두 가지 주요 버전이 있습니다.버전 1(SSH v1) 및 버전 2(SSH v2)SSH v2는 SSH v1보다 더 안전하므로, 많은 ESA 관리자는 SSH v2를 사용하는 클라이언트의 연결만 허용하기를 선호합니다.
AsyncOS ~ 7.6.3 버전에서 sshconfig를 사용하여 CLI에서 SSH v1 연결을 비활성화할 수 있습니다.
mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE
AsyncOS 8.x 이상 버전에서는 sshconfig에 SSH v1 비활성화 옵션이 없습니다. 8.x를 업그레이드하기 전에 SSH v1이 활성화된 경우, SSH v1에 대한 모든 지원이 제거되었더라도 업그레이드가 완료된 후에도 ESA에서 SSH v1이 활성화되고 액세스 가능한 상태로 유지됩니다.이는 정기적인 보안 감사 및 침투 테스트를 수행하는 관리자에게 문제가 될 수 있습니다.
SSH v1에 대한 모든 지원이 제거되었으므로 SSHv1을 비활성화하려면 지원 요청을 열어야 합니다.
외부 Linux/Unix 호스트에서 다음 명령을 실행하거나 선택 가능한 기타 CLI 연결에서 실행하여 SSH v1이 해당 ESA에 대해 활성화 또는 비활성화되었는지 확인합니다.
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2
예상 출력은 "프로토콜 주 버전이 다릅니다.1 대 2" - SSH v1이 비활성화되었음을 나타냅니다. 그렇지 않고 SSH v1이 계속 활성화된 경우 다음을 볼 수 있습니다.
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.0.1 for Cisco IronPort C360 build 023
Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>
이 출력은 SSH v1이 여전히 사용 중임을 나타내며, 8.x 이상으로 업그레이드한 후 ESA를 불안정하게 만들 수 있습니다. 이는 침투 테스트 또는 보안 감사를 통해 주목을 받게 될 수 있으며, 상당한 차이를 파악할 수 있습니다. 이를 수정하려면 지원 케이스를 열고 이를 수정해야 합니다. ESA에서 Cisco 기술 지원을 위한 지원 터널을 제공할 수 있어야 합니다.
관련 정보
피드백