事象: Firepower System 6.2.x から 6.3以降にupgrade後SSH接続が失敗する

Yasutaka Yokouchi · ‎2020-01-28

はじめに
事象
原因
解決策

はじめに

Firepower System Software Version 6.2.x から 6.3 や 6.4 にupgrade 後、 SSH接続の際にエラーが出力され接続できないとの多数のお問い合わせを頂いております。本ドキュメントでは本事象についてご紹介します。

なお、本事象はASAやFXOSは影響をうけません。

事象

Firepower System 製品(Firepower、FTD、FMC)へSSH接続を実施した際、以下のようなメッセージが出力され接続に失敗する場合があります。

[ERROR メッセージ例]

root@server:~$ ssh 10.0.0.1
no matching mac found: client hmac-md5,hmac-sha1,umac-64@openssh.com,hmac-ripemd160,hmac-ripemd160@openssh.com,hmac-sha1-96,hmac-md5-96 server hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com,umac-128@openssh.com

PuTTY Error:
Couldn't agree a key exchange algorithm (available: curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256)

Key exchange failed. No compatible key exchange method. The server supports these methods: diffie-hellman-group-exchange-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256

No compatible MAC. The server supports these MACs: hmac-sha2-256,hmac-sha2-512,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,umac-128-etm@openssh.com,umac-128@openssh.com

原因

FMC6.3以降の Software Version では、セキュリティ向上のため古い暗号化アルゴリズムやHash関数は利用できないよう実装が変更されています。

* KexAlgorithms
Removed : diffie-hellman-group14-sha1
Replaced: diffie-hellman-group-exchange-sha256, curve25519-sha256@libssh.org, ecdh-sha2-nistp521, ecdh-sha2-nistp384, ecdh-sha2-nistp256
 
* Ciphers
Removed : aes256-cbc, aes128-cbc, aes192-cbc (aes-cbc ciphers)
Added   : chacha20-poly1305
 
* Macs
Removed : hmac-sha1, hmac-sha2-256 and hmac-sha2-512
Replaced: hmac-sha2-256, hmac-sha2-512, hmac-sha2-256-etm@openssh.com, hmac-sha2-512-etm@openssh.com, umac-128-etm@openssh.com, umac-128@openssh.com

なお、上記実装の変更として、CSCvd83685 が登録されております。

解決策

SSH接続の際には、より新しい Secure なアルゴリズムやHASH関数をご利用下さい。
古いVersionのターミナルクライアントソフト(Tera Term や putty)をご利用の場合は、最新のアルゴリズムに対応したSSHクライアントにupdateをご検討ください。