Dans une HA paire, la Firewall connectivité ssh secondaire (port de gestion) est perdue après avoir désactiver les chiffrements faibles sur primaire Firewall

Dans une HA paire, la Firewall connectivité ssh secondaire (port de gestion) est perdue après avoir désactiver les chiffrements faibles sur primaire Firewall

21301
Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM


Question


Pourquoi PA l’accès du CLI secondaire est perdu après avoir supprimé le TLS chiffrement faible sur le primaire lorsque deux APP sont dans une HA paire?
 

Environment


  • Unll PAN-OS
  • PaloAlto Firewall ou en haute Panorama avialble HA () paire

Answer


  • Étapes précédentes:
    1. Pour fixer la configuration vulnérable sweet-32 sur les PAN étapes suivantes sont inclus.
    2. Retirez le chiffrement faible, comme SHA1, 3DES et RC4.
    3. Mettez à jour le profil de service ssl-tls en sélectionnant un algorithme de chiffrement sécurisé tel que SHA256, AES-256 - GCM .
    4. Définissez l’algorithme d’échange ECDHE de clés comme , et définissez des chiffrements ssh pour mgmt comme aes256-ctr et d’autres.
    5. Le détail complet peut être trouvé ici.
    6. La dernière étape est toujours de redémarrer SSH le service à nouveau ( définirssh service-redémarrer mgmt) de sorte que le paramètre nouvellement configuré peut avoir lieu.
  • Effet secondaire:
    1. Cependant, parfois, comme un effet secondaire PA-FW SSH l’accès n’est pas réussi. Il pourrait être dû à SSH l’ancien client qui ne prend pas en charge les nouvelles touches de mise à jour, donc nous recommandons à tous d’avoir mis à jour les versions du logiciel, en particulier le mastic.Vous pouvez toujours utiliser Teraterm, SecureCRT ou d’autres SSH logiciels clients.
    2. Le problème le plus important se produit si vous avez HA- une paire, et SSH l’accès au FW secondaire est échoué. La raison en est, bien qu’en raison de la synchronisation de configuration, SSH les configurations du primaire est passé au secondaire, mais SSH le service n’a pas été redémarré sur secondaire.Par conséquent, la SSH nouvelle configuration connexe n’est pas appliquée sur le port de gestion, FW et est en état suspendu
  • Solution:
    1. Sur FW secondaire, SSH éteignez de la WebUI.
    2. Connectez-vous via la console, supprimez d’abord la configuration existante, puis modifiez à nouveau le chiffrement.
    3. Redémarrez le service « set ssh service-restart mgmt »
    4. Ensuite, activé à SSH partir de l’interface utilisateur Web ou vous pouvez modifier la SSH configuration connexe à la fois simultanément et FW redémarrer SSH le service sur la gestion ensemble.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000HAsiCAG&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language