Clientes SSH legados em redes internas

1

Eu tenho um par de clientes SSH legados na minha rede interna (acho que os Macintoshes e similares do ano 2000) são totalmente incompatíveis com códigos mais recentes e algoritmos de chaves usados em implementações modernas de SSH.

Para que esses clientes funcionassem, é necessário adicionar diffie-hellman-group1-sha1 a KexAlgorithms e arcfour a Ciphers .

Eu entendo que ambos estão terrivelmente, irremediavelmente quebrados do ponto de vista da criptografia . Infelizmente, o host em questão também tem acesso de entrada da Internet, e eu realmente, realmente não quero ter essas cifras crap habilitadas se eu puder evitá-lo, mas foi o caminho mais rápido para obter meus clientes estão online novamente.

Eu tenho algumas perguntas sobre como apertar essa configuração:

  • O sshd tem uma maneira de especificar que certos endereços podem usar certas cifras?

    • Sobre esta pergunta de 2011: did sshd aprender como usar KexAlgorithms e Ciphers dentro de um bloco Match nos últimos 5 anos?
  • Existe alguma maneira de colocar um servidor bastion / jump na frente dos clientes que exigem criptografia fraca e depois encaminhar essa conexão para o host com criptografia mais strong?

  • Estou sentindo falta de algum outro caminho óbvio ao redor deste problema?

por Mikey T.K. 06.02.2017 / 18:07

1 resposta

1

Does sshd have a way to specify that certain addresses can use certain ciphers?

Sim. Exemplos simples estão na página Legacy do OpenSSH . Resumindo:

Host legacy.example.org
    KexAlgorithms +diffie-hellman-group1-sha1
    Ciphers +arcfour

Is there some way to put a bastion/jump server in front of the clients requiring weak encryption, and then forward that connection on to the host with stronger encryption?

Sim. Você pode configurar o servidor legado para aceitar conexões apenas do servidor de caixas de salto, por exemplo, usando /etc/hosts.allow ( tcp_wrappers ). Por exemplo:

sshd: <IP/hostname of bastion>

Os usuários configuram ProxyCommand para pular o jumpbox , como

Host legacy.example.com
  ProxyCommand ssh -W %h:%p proxy.example.com
    
por 06.02.2017 / 19:28