Introduction
Este documento descreve como revisar e configurar as versões de autenticação SSH no Cisco Email Security Appliance (ESA).
Como faço para garantir que meu ESA aceite somente conexões SSH de clientes que usam SSH v2?
O ESA pode ser configurado para permitir conexões Secure Shell (SSH). As conexões SSH criptografam o tráfego entre o host de conexão e o ESA. Isso protege as informações de autenticação, como nome de usuário e senhas. Há duas versões principais do protocolo SSH: versão 1 (SSH v1) e versão 2 (SSH v2). O SSH v2, sendo mais recente, é mais seguro do que o SSH v1, e portanto muitos administradores de ESA preferem permitir apenas conexões de clientes que usam SSH v2.
Nas versões do AsyncOS até 7.6.3, a desativação de conexões SSH v1 pode ser feita na CLI com sshconfig:
mail3.example.com> sshconfig
Currently installed keys for admin:
Choose the operation you want to perform:
- NEW - Add a new key.
- USER - Switch to a different user to edit.
- SETUP - Configure general settings.
[]> setup
SSH v1 is currently ENABLED.
Choose the operation you want to perform:
- DISABLE - Disable SSH v1
[]> DISABLE
Nas versões do AsyncOS 8.x e mais recente, a opção de desabilitar o SSH v1 não existe com o sshconfig. Se o SSH v1 foi habilitado antes da atualização de 8.x, o SSH v1 permanecerá habilitado e acessível no ESA, mesmo depois que a atualização for concluída, mesmo que todo o suporte para SSH v1 tenha sido removido. Isso pode ser um problema para administradores que realizam auditorias de segurança regulares e testes de penetração.
Como todo o suporte para SSH v1 foi removido, uma solicitação de suporte deve ser aberta para que o SSHv1 seja desabilitado.
Execute o seguinte comando de um host Linux/Unix externo, ou outra conexão CLI aplicável de sua escolha, para confirmar se o SSH v1 está habilitado ou desabilitado para o ESA em questão:
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Protocol major versions differ: 1 vs. 2
A saída esperada é "As principais versões do protocolo diferem: 1 x 2", o que sinaliza que o SSH v1 está desabilitado. Se não, e o SSH v1 ainda estiver ativado, você verá:
robert@my_ubuntu:~$ ssh -1 admin@192.168.0.199
Password:
Response:
Last login: Thu Oct 30 14:53:40 2014 from 192.168.0.3
Copyright (c) 2001-2013, Cisco Systems, Inc.
AsyncOS 8.0.1 for Cisco IronPort C360 build 023
Welcome to the Cisco IronPort C360 Messaging Gateway(tm) Appliance
myesa.local>
Essa saída sinalizaria que o SSH v1 ainda está em uso e pode causar insegurança com o ESA após atualizá-lo para 8.x ou mais recente. Isso pode ser chamado a atenção com um teste de penetração ou auditoria de segurança e identificar uma lacuna significativa. Para corrigir isso, você precisará abrir um caso de suporte e solicitar a correção. Você precisará ser capaz de fornecer um túnel de suporte do ESA para o Suporte Técnico da Cisco.
Informações Relacionadas
Feedback