はじめに
Firepower System Software Version 6.2.x から 6.3 や 6.4 にupgrade 後、 SSH接続の際にエラーが出力され接続できないとの多数のお問い合わせを頂いております。本ドキュメントでは本事象についてご紹介します。
なお、本事象はASAやFXOSは影響をうけません。
事象
Firepower System 製品(Firepower、FTD、FMC)へSSH接続を実施した際、以下のようなメッセージが出力され接続に失敗する場合があります。
[ERROR メッセージ例]
root@server:~$ ssh 10.0.0.1
no matching mac found: client hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 server hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com,umac-128@openssh.com
PuTTY Error:
Couldn't agree a key exchange algorithm (available: curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256)
Key exchange failed. No compatible key exchange method. The server supports these methods: diffie-hellman-group-exchange-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256
No compatible MAC. The server supports these MACs: hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com,umac-128@openssh.com
原因
FMC6.3以降の Software Version では、セキュリティ向上のため古い暗号化アルゴリズムやHash関数は利用できないよう実装が変更されています。
解決策
SSH接続の際には、より新しい Secure なアルゴリズムやHASH関数をご利用下さい。
古いVersionのターミナルクライアントソフト(Tera Term や putty)をご利用の場合は、最新のアルゴリズムに対応したSSHクライアントにupdateをご検討ください。