j'ai compris

[Dépannage] La connexion à distance au pare-feu USG6635E via SSH sur le commutateur échoue

publié il y a  2022-6-29 12:02:12Dernière réponse jun. 30, 2022 09:15:02 58 2 2 0 0

[Dépannage] La connexion à distance au pare-feu USG6635E via SSH sur le commutateur échoue


DESCRIPTION DU PROBLÈME


Un  pare-feu USG6635E  est connecté à un  commutateur S6730 via le port de gestion Mgmt , qui permet la gestion hors bande du  pare-feu USG6635E . Le  pare-feu USG6635E ne configure pas la politique de sécurité consistant à refuser l'opération pour le trafic sur le port de gestion Mgmt  et il n'y a aucun problème de ping entre les appareils, car la route entre les appareils est accessible.


Le client utilise la commande ssh XXXX (l'adresse IP du port de gestion de l' USG6635E ) sur le commutateur S6730 pour se connecter directement au pare-feu à distance, ce qui indique que la connexion à distance échoue.


PROCESSUS DE DÉPANNAGE


1. Configurez le  pare-feu USG6635E pour collecter les informations de débogage :



<USG6635E> terminal monitor

<USG6635E> terminal debugging

<USG6635E> debugging ssh server all all


2. Utilisez la commande ssh X.XXX (l'adresse IP du port de gestion de l' USG6635E ) directement sur le  commutateur S6730 pour vous connecter à distance au  pare-feu USG6635E .


3. Une fois que le commutateur S6730 a  fini de se connecter au  pare-feu USG6635E , désactivez le débogage sur le  pare-feu USG6635E :


<USG6635E> undo terminal debugging

<USG6635E> undo terminal monitor


4. Vérifiez les informations de débogage collectées et la configuration du serveur SSH du pare-feu USG .


échec ssh


échec ssh


Grâce aux informations de débogage et à la configuration SSH , on constate que l' algorithme HMAC aux deux extrémités est incohérent, ce qui provoque l' échec de la connexion SSH à distance.


CAUSE PREMIÈRE


La liste d'algorithmes de somme de contrôle de configuration par défaut sur USG6635E est sha2_256 . Par défaut, l'appareil ne prend pas en charge les algorithmes HMAC à faible sécurité tels que sha2_256_96 , sha1 , sha1_96 , md5 et md5_96 . Pour résoudre le problème actuel, le package de composant d'algorithme de sécurité faible doit être installé sur le  pare-feu USG6635E pour pouvoir configurer des algorithmes de sécurité faibles sur l' USG6635E afin d'obtenir des algorithmes HMAC cohérents des deux côtés du commutateur et du pare-feu.


LA SOLUTION


Installez le package du composant de l'algorithme de sécurité faible et reconfigurez le paramètre d'échange de clé du serveur SSH :


<USG6635E> install-module USG6600E_V600R007C20SPC100_WEAKEA.mod

[USG6635E] undo ssh server hmac    

[USG6635E] ssh server cipher aes256_ctr aes128_ctr aes256_cbc aes128_cbc 3des_cbc des_cbc

[USG6635E] ssh server key-exchange dh_group16_sha512 dh_group15_sha512 dh_group14_sha256 dh_group_exchange_sha256 dh_group_exchange_sha1 dh_group14_sha1 dh_group1_sha1


N'hésitez pas à laisser un message et à échanger dans l'espace commentaire !


  • x
  • Standard:

faysalji
publié il y a 2022-6-30 09:03:37
Merci d'avoir partagé
View more
  • x
  • Standard:

Samira
publié il y a 2022-6-30 09:15:02
merci
View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Accord utilisateur ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.
Guide de Protection de L'information
Merci d'utiliser la Communauté D'assistance Huawei Enterprise ! Nous vous aiderons à savoir comment nous recueillons, utilisons, stockons et partageons vos informations personnelles et les droits que vous avez conformément à Politique de Confidentialité et Contrat D'utilisation.