Konfigurieren und Anwenden des SSH-Serverprofils auf die Verwaltungsschnittstelle des dedizierten Protokollsammlers

• Der Entschärfungsschritt für CVE-2023-48795 erfordert ein SSH-Serverprofil mit mindestens einer Verschlüsselung und mindestens einem MAC-Algorithmus.
• Für Dedicated Log Collectors, die über Panorama verwaltet werden, gibt es in der GUI kein Menü, um ein SSH-Server-Profil zu konfigurieren und auf die Verwaltungsoberfläche von Dedicated Log Collectors anzuwenden.
• In diesem Artikel werden die Schritte zur Konfiguration beschrieben.

• PAN-OS 10.0 und höher.
• Management-Panorama mit einer Collector-Gruppe.
• Dedizierte(r) Protokollsammler(s) in der Collector-Gruppe.

Diese Konfigurationsschritte müssen im Verwaltungspanorama der Collector-Gruppe durchgeführt werden.
Wenn die Konfiguration lokal auf den dedizierten Protokollsammlern erfolgt, wird die Konfiguration beim nächsten Pushen der Collector-Gruppe überschrieben.

1. Melden Sie sich bei Panorama an und erstellen Sie ein SSH-Serverprofil für die Collector-Gruppe.

> configure
# set log-collector-group <collector group name> general-setting management ssh profiles mgmt-profiles server-profiles <SSH Server Profile name>

2. Wenden Sie die Optionen wie Verschlüsselungen, Algorithmen usw. auf das SSH-Serverprofil an, das Sie oben erstellt haben. Wenn Sie "tab" verwenden, wird die Liste der Optionen angezeigt. Im Folgenden finden Sie ein Beispiel:

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc aes256-ctr aes256-gcm ] mac [ hmac-sha2-256 hmac-sha2-512 ]

• Zwischen den eckigen Klammern [ ] und den Werten sowie zwischen den Werten ist ein Leerzeichen erforderlich.
• Beispiel: [hmac-sha2-256 hmac-sha2-512] gibt den Fehler Ungültige Syntax zurück.

3. Wenden Sie das SSH-Serverprofil auf die Verwaltungsschnittstelle an, und beenden Sie die Konfiguration.

# set log-collector-group <insert collector group name> general-setting management ssh mgmt server-profile <insert SSH Server Profile name>
# exit

4. So überprüfen Sie die Konfiguration:

> configure
# show log-collector-group <insert collector group name> general-setting management ssh
# exit

5. Übertragen Sie die Konfiguration in das Management-Panorama in der GUI mit Commit > Commit to Panorama
6. Übertragen Sie die Konfiguration per Push an die Collector-Gruppe in der GUI. Verwenden von Commit > Push to Devices
7. Wählen Sie den Pushbereich für die Collector-Gruppe aus. Siehe unten:

8. So wenden Sie das Änderungsprotokoll auf jeden Log Collector der Collector-Gruppe an und starten den SSH-Dienst der Verwaltungsschnittstelle mithilfe des CLI-Befehls neu:

> set ssh service-restart mgmt

• Befehle zum Beheben schwacher Chiffren und Schlüssel auf der mgmt-Schnittstelle für den SSH-Zugriff in PAN-OS 10.0
• Konfigurieren eines SSH-Dienstprofils
• Befehle aus Schritt 2 können auch separat angewendet werden. Beispiel unten:

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc ]

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac [ hmac-sha2-256 hmac-sha2-512 ]

• Um Werte für die Optionen zu löschen, ist der Befehl wie folgt aufgebaut:

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac hmac-sha2-512

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers aes256-cbc