En un HA par, Firewall la conectividad ssh secundaria (puerto de administración) se pierde después de deshabilitar los cifrados débiles en Firewall

En un HA par, Firewall la conectividad ssh secundaria (puerto de administración) se pierde después de deshabilitar los cifrados débiles en Firewall

21315
Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM


Question


¿Por qué se pierde el PA acceso secundario después de eliminar el cifrado débil en la primaria cuando dos CLI TLS PAs están en un HA par?
 

Environment


  • All PAN-OS
  • PaloAlto Firewall o en alto par de Panorama avialbles HA ()

Answer


  • Pasos anteriores:
    1. Para fijar la configuración vulnerable sweet-32 en PAN los siguientes pasos se incluyen.
    2. Quite el cifrado débil, como SHA1, 3DES y RC4.
    3. Actualice el perfil de servicio ssl-tls seleccionando un algoritmo de cifrado seguro como SHA256, AES-256 - GCM .
    4. Establezca el algoritmo de intercambio de claves como ECDHE , y establezca cifrados ssh para mgmt como aes256-ctr y otros.
    5. El detalle completo se puede encontrar aquí.
    6. El último paso es siempre reiniciar el SSH servicio otra vez ( establecerssh service-restart mgmt) para que la configuración recién configurada pueda tener lugar.
  • Efecto secundario:
    1. Sin embargo, a veces como efecto secundario PA-FW SSH el acceso no se realiza correctamente. Podría deberse al cliente antiguo SSH que no admite nuevas claves de actualización, por lo tanto recomendamos que todos tengan versiones actualizadas del software, especialmente masilla.Siempre puede utilizar Teraterm, SecureCRT u otro SSH software cliente.
    2. El problema más grande se produce si tiene un HA- par y se produce un error en el acceso a lo SSH FW secundario. La razón es que, aunque debido a la sincronización de configuración, las SSH configuraciones de primario se pasan a secundarias, pero el SSH servicio no se reinició en secundario.Por lo tanto, la nueva SSH configuración relacionada no se aplica en el puerto de administración, y FW está en estado colgado
  • Solución:
    1. En FW secundario, desactive SSH la WebUI.
    2. Inicie sesión a través de la consola, elimine primero la configuración existente y, a continuación, realice los cambios de cifrado de nuevo.
    3. Reinicie el servicio "set ssh service-restart mgmt"
    4. A continuación, activado SSH desde webUI o puede cambiar la SSH configuración relacionada tanto en el servicio simultáneamente como en el servicio de reinicio en la administración FW SSH juntos.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAsiCAG&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language