在一 HA 对中,次要 Firewall 的 ssh 连接(管理端口)在初级密码上禁用弱密码后丢失 Firewall
29455
Created On 09/25/20 05:22 AM - Last Modified 02/17/23 14:00 PM
Question
为什么 PA CLI TLS 当两个PA在一对中时,在删除主的弱密码后,次要的访问丢失 HA ?
Environment
- 所有 PAN-OS
- 帕洛阿尔托 Firewall 或 Panorama 在高可视性 HA () 对
Answer
- 前面的步骤:
- 用于在以下步骤上修复 sweet-32 易受攻击配置 PAN 。
- 卸下弱密码,如 SHA1、3DES 和 RC4。
- 通过选择安全密码算法(如 SHA256)来更新 ssl-tls 服务配置文件 AES-256 GCM 。
- 将关键交换算法 ECDHE 设置为,并将mgmt的ssh密码设置为 aes256-ctr 等。
- 完整的细节可以在这里 找到。
- 最后一步始终是 SSH 再次重新启动服务(设置ssh 服务重新启动 mgmt),以便新配置的设置可以进行。
- 副作用:
- 但是,有时作为副作用 PA-FW SSH 访问并不成功。 这可能是由于旧 SSH 客户端不支持新的更新密钥,因此我们建议所有软件的更新版本,特别是腻子。您可以随时使用泰瑞特姆、安全CRT或其他 SSH 客户端软件。
- 如果您有一对,则会出现更大的问题 HA- ,并且 SSH 对次要 FW 的访问失败。 原因是,虽然由于配置同步, SSH 配置从主配置传递到次要配置,但 SSH 服务未在次要时重新启动。因此,新的 SSH 相关配置不适用于管理端口,处于 FW 挂状态
- 解决 方案:
- 在次要 FW 时, SSH 从 WebUI 关闭。
- 通过控制台登录,首先删除现有配置,然后再次更改密码。
- 重新启动服务 "设置 ssh 服务重新启动 mgmt"
- 然后从 SSH WebUI 打开,或者您可以同时更改 SSH 相关配置 FW ,并 SSH 一起重新启动管理服务。