Cómo configurar y aplicar el perfil de servidor SSH a la interfaz de administración de Dedicated Log Collector

• El paso de mitigación para CVE-2023-48795 requiere un perfil de servidor SSH con al menos un cifrado y al menos un algoritmo MAC.
• Para los recopiladores de registros dedicados administrados a través de Panorama, no hay ningún menú en la GUI para configurar un perfil de servidor SSH y aplicarlo a la interfaz de administración de los recopiladores de registros dedicados.
• En este artículo se proporcionan los pasos para configurar el mismo.

• PAN-OS 10.0 y superior.
• Panorama de la gestión con un grupo de coleccionistas.
• Recolectores de registros dedicados en el grupo de recopiladores.

Estos pasos de configuración deben realizarse en el Panorama de Administración del Grupo de Colectores.
Si la configuración se realiza localmente en los recopiladores de registros dedicados, la siguiente inserción del grupo de recopiladores anulará la configuración.

1. Inicie sesión en Panorama y cree un perfil de servidor SSH para el grupo de recopiladores.

> configure
# set log-collector-group <collector group name> general-setting management ssh profiles mgmt-profiles server-profiles <SSH Server Profile name>

2. Aplique las opciones como cifrados, algoritmos, etc. al perfil de servidor SSH que creó anteriormente. El uso de "tab" dará la lista de opciones. A continuación se muestra un ejemplo:

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc aes256-ctr aes256-gcm ] mac [ hmac-sha2-256 hmac-sha2-512 ]

• Se requiere un espacio entre los corchetes [ ] y los valores, así como entre los valores.
• Por ejemplo, [hmac-sha2-256 hmac-sha2-512] devolverá un error de sintaxis no válida .

3. Aplique el perfil de servidor SSH a la interfaz de administración y salga de la configuración.

# set log-collector-group <insert collector group name> general-setting management ssh mgmt server-profile <insert SSH Server Profile name>
# exit

4. Para verificar la configuración:

> configure
# show log-collector-group <insert collector group name> general-setting management ssh
# exit

5. Confirme la configuración en Management Panorama en la GUI mediante Commit > Commit to Panorama
6. Inserte la configuración en el grupo de recopiladores de la interfaz gráfica de usuario. uso de Commit > Push to Devices
7. Seleccione el ámbito de inserción en el grupo de recopiladores. Consulte a continuación:

8. Para aplicar el registro de cambios en cada recopilador de registros del grupo de recopiladores y reiniciar el servicio SSH de la interfaz de administración mediante el comando CLI:

> set ssh service-restart mgmt

• Comandos para corregir cifrados y claves débiles en la interfaz de administración para el acceso SSH en PAN-OS 10.0
• Configurar un perfil de servicio SSH
• Los comandos del paso 2 también se pueden aplicar por separado. Ejemplo a continuación:

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers [ aes256-cbc ]

# set log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac [ hmac-sha2-256 hmac-sha2-512 ]

• Para eliminar cualquier valor de las opciones, el comando está estructurado de la siguiente manera:

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST mac hmac-sha2-512

# delete log-collector-group DummyCollectorGroup general-setting management ssh profiles mgmt-profiles server-profiles TEST ciphers aes256-cbc