ASA に ssh (ver2)接続できない

MM12 · ‎2019-12-04

以下の機器へ telnet 接続はできるが、
ssh (ver2) への接続ができません。
設定の問題 or os の bug かわかりません。
ssh 接続できるよう、ご教授お願いします。

---------- 機器情報 -------------
PID: FPR-2110

Cisco Adaptive Security Appliance Software Version 9.10(1)
Firepower Extensible Operating System Version 2.4(1.103)
Device Manager Version 7.10(1)

---------- 設定抜粋 ------------

username admin password *****

aaa authentication ssh console LOCAL

ssh stricthostkeycheck
ssh 10.0.0.0 255.255.240.0 management
ssh timeout 10
ssh version 2
ssh key-exchange group dh-group1-sha1

management-access management

interface Management1/1
management-only
nameif management
security-level 100
ip address 10.0.0.121 255.255.240.0

------- 機器への接続 ----------

PC を management ポートへ直接接続

--------- debug ---------------

SSH0: SSH client: IP = '10.0.0.253' interface # = 3
SSH: host key initialised
SSH0: starting SSH control process
SSH0: Exchanging versions - SSH-2.0-Cisco-1.25

SSH0: send SSH message: outdata is NULL

server version string:SSH-2.0-Cisco-1.25
SSH0: receive SSH message: 83 (83)
SSH0: client version is - SSH-2.0-TTSSH/2.89 Win32

client version string:SSH-2.0-TTSSH/2.89 Win32

SSH2 0: send: len 288 (includes padlen 6)
SSH2 0: SSH2_MSG_KEXINIT sent
SSH2 0: ssh_receive: 1380 bytes received
SSH2 0: input: packet len 1424
SSH2 0: partial packet 8, need 1416, maclen 0
SSH2 0: ssh_receive: 44 bytes received
SSH2 0: partial packet 8, need 1416, maclen 0
SSH2 0: input: padlen 9
SSH2 0: received packet type 20

SSH2 0: SSH2_MSG_KEXINIT received
SSH2 0: matching cipher is not supported: aes256-ctr
SSH2 0: ssh: kex_choose_conf error
SSH2 0: key exchange failed to completeSSH0: Session disconnected by SSH server - error 0x00 "Internal error"
--------------------------------

Akira Muranaka · ‎2019-12-04

こんばんは！

Firepower2100は事前にスマートライセンス登録を行わないと、強固な暗号機能が使えないはずです。(某国に密輸されて暗号機能を使われるとまずいので、シスコのセキュリティ製品は基本、Validなユーザがライセンス認証しないと強固な暗号機能が使えません。。)

以下のトラブルと同じなのかなぁと思うのですが、スマートライセンス認証をしていない場合は、一旦スマートライセンス認証をして strong-encryptionを有効化してから再度トライしてみるといかがでしょう？

https://community.cisco.com/t5/firewalls/asa-9-9-2-ssh-cannot-connect-with-putty-mac-os-high-sierra/td-p/3358011

スマートライセンス認証方法は以下ドキュメントが役立つかと思います。輸出規制機能の利用にチェック入ってれば、show versionで Encryption-3DES-AESがEnableにかわるかと思います。たぶん

https://community.cisco.com/t5/-/-/ta-p/3163034#toc-hId--1443282889

あと、蛇足ですが、ASA 9.10系は短期サポートリリースなので、9.8系か 9.12系の最新Interimバージョン(※2019年12月現在だと 9.12.2.9や 9.8.4.15など)に早めにバージョン変更されたほうがいいと思います。 ASA 9.10は既にサポート終了もアナウンスされてたはずですし、利用/導入に向かないバージョンです。。トレインモデルについて詳しくは以下。

https://community.cisco.com/t5/-/-/ta-p/3156005

CISCO11068082 · ‎2019-12-17

以下は設定されていますか？

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E3%81%B8%E3%81%AE-ssh-%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%92%E6%9C%89%E5%8A%B9%E3%81%AB%E3%81%99%...

// RSA キーを生成する
ciscoasa(config)# crypto key generate rsa general-keys modulus 1024 noconfirm
INFO: The name for the keys will be: <Default-RSA-Key>
Keypair generation process begin. Please wait...
%ASA-5-111008: User 'enable_15' executed the 'crypto key generate rsa general-keys modulus 1024 noconfirm' command.