In einem Paar geht der HA Firewall sekundäre ssh-Konnektivitäts-(Verwaltungsport ) verloren, nachdem schwache Verschlüsselungen auf Primary deaktiviert wurden. Firewall

In einem Paar geht der HA Firewall sekundäre ssh-Konnektivitäts-(Verwaltungsport ) verloren, nachdem schwache Verschlüsselungen auf Primary deaktiviert wurden. Firewall

21307
Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM


Question


Warum geht der Zugriff der Sekundäre PA CLI verloren, nachdem die schwache TLS Chiffre auf der primären Primäre entfernt wurde, wenn zwei PAs in einem HA Paar sind?
 

Environment


  • All PAN-OS
  • PaloAlto Firewall oder in hohen Panorama avialble( HA ) paar

Answer


  • Vorherige Schritte:
    1. Zur Behebung der sweet-32 anfälligen Konfiguration sind PAN folgende Schritte enthalten.
    2. Entfernen Sie die schwache Chiffre, z. B. SHA1, 3DES und RC4.
    3. Aktualisieren Sie das ssl-tls-Dienstprofil, indem Sie einen sicheren Verschlüsselungsalgorithmus wie SHA256, AES-256 - GCM auswählen.
    4. Legen Sie den Schlüsselaustauschalgorithmus auf ECDHE , und setzen Sie ssh-Chiffren für mgmt als aes256-ctr und andere.
    5. Das vollständige Detail finden Sie hier.
    6. Der letzte Schritt besteht immer darin, den Dienst erneut neu zu starten SSH (ssh service-restart mgmt) festzulegen, damit die neu konfigurierte Einstellung stattfinden kann.
  • Nebeneffekt:
    1. Manchmal ist der Zugriff als Nebeneffekt jedoch PA-FW SSH nicht erfolgreich. Es könnte aufgrund des alten Clients sein, der SSH keine neuen Update-Schlüssel unterstützt, daher empfehlen wir allen aktualisierte Versionen der Software, insbesondere Putty.Sie können immer Teraterm, SecureCRT oder andere SSH Client-Software verwenden.
    2. Das größere Problem tritt auf, wenn Sie ein Paar haben HA- und der Zugriff auf SSH FW sekundäre fehlerbeschadet ist. Der Grund dafür ist, dass die Konfigurationen von primär an sekundär SSH übergeben werden, der Dienst jedoch nicht auf der sekundären Seite SSH neu gestartet wurde.Daher wird die neue SSH zugehörige Konfiguration nicht auf den Verwaltungsport angewendet und befindet sich FW im
  • Lösung:
    1. Deaktivieren Sie auf der sekundären FW Datei SSH die WebUI.
    2. Melden Sie sich über die Konsole an, löschen Sie zunächst die vorhandene Konfiguration, und nehmen Sie dann die Verschlüsselungsänderungen erneut vor.
    3. Starten Sie den Dienst "set ssh service-restart mgmt" neu
    4. Dann aktiviert SSH von der WebUI Oder Sie können die SSH zugehörige Konfiguration auf gleichzeitig ändern und starten Dienst auf Verwaltung FW SSH zusammen.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAsiCAG&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language