ペアでは HA 、 Firewall プライマリで弱い暗号を無効にした後、セカンダリの ssh 接続(管理ポート)が失われます。 Firewall
21299
Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM
Question
2 つの PA CLI TLS PA がペアに含まれている場合に、プライマリの弱い暗号を削除した後にセカンダリのアクセスが失われるのはなぜ HA ですか。
Environment
- すべて PAN-OS
- パロアルト Firewall または Panorama 高アビアルブル HA ()ペア
Answer
- 前の手順:
- 以下の手順でsweet-32の脆弱な構成を修正するために PAN 含まれています。
- SHA1、3DES、RC4 などの弱い暗号を削除します。
- SHA256 などのセキュリティで保護された暗号アルゴリズムを選択して ssl-tls サービス プロファイルを更新 AES-256 GCM します。
- キー交換アルゴリズムを ECDHE として設定し、mgmt の ssh 暗号を aes256-ctr などの ssh 暗号として設定します。
- 詳細については、 こちらをご覧ください。
- 最後の手順は、常にサービスを再起動し直す SSH (ssh サービス再起動 mgmtを設定する) を行い、新しく設定した設定を実行できるようにします。
- 副作用:
- しかし、副作用として PA-FW SSH アクセスが成功しないことがあります。 SSH新しいアップデートキーをサポートしていない古いクライアントが原因である可能性があるため、すべてのソフトウェアのバージョン、特にパテを更新することをお勧めします。Teraterm、SecureCRT、またはその他のクライアントソフトウェアをいつでも使用できます SSH 。
- ペアを持っていて HA- 、 SSH セカンダリへのアクセスに失敗した場合、より大きな問題 FW が発生します。 その理由は、構成同期のため、 SSH プライマリからの構成はセカンダリに渡されますが、 SSH セカンダリではサービスが再開されなかったためです。したがって、新しい SSH 関連設定は管理ポートに適用されず、 FW ハング状態になります
- ソリューション:
- セカンダリ FW で SSH WebUI をオフにします。
- コンソールからログインし、まず既存の構成を削除してから、暗号を変更し直します。
- サービスを再起動 "ssh サービス再起動 mgmt を設定する"
- その後 SSH 、WebUI からオンにするか、同時 SSH に関連する構成を変更 FW し、 SSH 同時に管理でサービスを再開することができます。