De acuerdo

Falla de inicio de sesión para un firewall USG6635E desde un switch s6730

59 0 0 0 0

El inicio de sesión remoto en el firewall USG6635E 

a través de SSH desde un switch falla.


Hola, en este post voy a compartir un caso sobre un fallo de inicio de sesión remota en el firewall USG6635E a través de SSH desde un switch S6730. A continuación los detalles de este caso.


Descripción Del Problema.

Un firewall USG6635E está conectado a un switch S6730 a través del puerto de gestión Mgmt, que permite la gestión fuera de banda del firewall USG6635E. El firewall USG6635E no configura la política de seguridad de denegación de funcionamiento para el tráfico en el puerto de gestión Mgmt y no hay ningún problema con el ping entre dispositivos, ya que en la ruta entre dispositivos es alcanzable.


El cliente utiliza el comando ssh X.X.X.X (la dirección IP del puerto de gestión del USG6635E) en el switch S6730 para iniciar sesión en el firewall de forma remota directamente, lo que indica que el inicio de sesión remoto falla.


Proceso De Solución De Problemas.

1. Configure el firewall USG6635E para recoger la información de debug:

<USG6635E> terminal monitor
<USG6635E> terminal debugging
<USG6635E> debugging ssh server all all


2. Utilice el comando ssh X.X.X.X (la dirección IP del puerto de gestión del USG6635E) directamente en el switch S6730 para iniciar sesión de forma remota en el firewall USG6635E.


3. Cuando el switch S6730 termine de iniciar sesión en el firewall USG6635E, desactive la función de debug en el firewall USG6635E:

<USG6635E> undo terminal debugging
<USG6635E> undo terminal monitor


4. Compruebe la información de debug obtenida  y verifique la configuración del servidor SSH del firewall USG.


ejemplo de debug ssh


Figura 1. Ejemplo de salida de mensajes de debug.


ejemplo de configuración de ssh


Figura 2. Ejemplo de configuración de SSH.


A través de la información de debug y la configuración de SSH, se encuentra que el algoritmo HMAC en ambos extremos es inconsistente, lo que causa el fallo de inicio de sesión SSH remoto.

 

Causa Raíz.

La lista de algoritmos de checksum de configuración por defecto en el USG6635E es sha2_256. Por defecto, el dispositivo no admite algoritmos HMAC de seguridad débil como sha2_256_96, sha1, sha1_96, md5 y md5_96. Para resolver el problema actual, es necesario instalar el paquete de componentes de algoritmos de seguridad débil en el firewall USG6635E para poder configurar los algoritmos de seguridad débil en el USG6635E y conseguir algoritmos HMAC coherentes en ambos lados del switch y del firewall.


Solución.

Instale el paquete de componentes de algoritmos de seguridad débil y reconfigure el parámetro de intercambio de claves del servidor SSH:

<USG6635E> install-module USG6600E_V600R007C20SPC100_WEAKEA.mod
[USG6635E] undo ssh server hmac    
[USG6635E] ssh server cipher aes256_ctr aes128_ctr aes256_cbc aes128_cbc 3des_cbc des_cbc
[USG6635E] ssh server key-exchange dh_group16_sha512 dh_group15_sha512 dh_group14_sha256 dh_group_exchange_sha256 dh_group_exchange_sha1 dh_group14_sha1 dh_group1_sha1

 

Saludos.


FIN.


También te puede interesar:

Guía de dimensionamiento firewall USG6000 Series NGFW

Descripción general de la función DNS utilizado en firewalls de Huawei.

Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000

                                                

Conoce más de esta línea de productos en:

Controlador de red eSight

Foro de switches de Huawei

Foro de seguridad de Huawei

Foro de Internet de las Cosas

                                                         

O pregúntale al robot inteligente de Huawei, conócelo aquí: 

Infografía: Conoce a iKnow, el robot inteligente


  • x
  • Opciones:

Comentar

Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse
Responder

Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte el “ Contrato de usuario.”

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.
Recordatorio
Agrega tu número de teléfono para obtener un bono de invitación.
Guía de privacidad y seguridad de usuario
¡Gracias por ser parte de la Comunidad de Soporte Huawei Enteprise! A continuación te ayudaremos a consultar y entender cómo recopilamos, procesamos, protegemos y almacenamos tus datos personales, así cómo los derechos obtenidos de acuerdo con Política de privacidad y Contrato de usuario.