故障現(xiàn)象

某運營商V5 ZXUN xGW掃描出一些ssh弱算法的漏洞，執(zhí)行安全加固以后，與R50s網(wǎng)管斷鏈，需要分析原因并解決。

故障分析

獲取ZXUN xGW和R50s之間的報文進行分析，發(fā)現(xiàn)ssh協(xié)商在密鑰交換之后，雙方釋放了TCP連接，如圖1所示。

查看R50s發(fā)送給ZXUN xGW的“Client: Key Exchange Init”消息，支持的密鑰交換算法為：ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521, diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1，如圖2所示。

查看ZXUN xGW發(fā)給R50s的“Server: Key Exchange Init”消息，支持的密鑰交換算法為：diffie-hellman-group14-sha256，如圖3所示。

4.根據(jù)ZXUN xGW和R50s發(fā)送的密鑰交換算法，發(fā)現(xiàn)沒有雙方都支持的Key Exchange算法，導致協(xié)商失敗。

故障處理

1.ZXUN xGW執(zhí)行以下命令，再次打開弱算法diffie-hellman-group1-sha1。

vGW(config)#ssh server diffie-hellman group1-sha1 enable

2.重新測試發(fā)現(xiàn)ZXUN xGW和R50s之間還是斷鏈，繼續(xù)抓包分析，發(fā)現(xiàn)部分ssh連接已經(jīng)建立成功，部分ssh連接依然失敗。

3.繼續(xù)分析失敗的ssh連接，客戶端的協(xié)議為SSH-2.0-Ganymed_262，與之前不同，如圖4所示。

4.繼續(xù)分析客戶端和服務(wù)端的Key Exchange Init消息，發(fā)現(xiàn)沒有雙方都支持的MAC算法，如圖5所示。

5.ZXUN xGW執(zhí)行以下命令，再次打開弱算法hmac sha1。

vGW(config)#ssh server hmac sha1 enable

6.重新測試，ZXUN xGW和R50s之間鏈路恢復正常。

7.建議與總結(jié)：ZXUN xGW在進行安全加固時，需要考慮對接的網(wǎng)管的能力，確認網(wǎng)管能支持安全加固后剩余的算法。