SSH設定
本設定では、Firewall AnalyzerでSSH通信を行なう上でのSSH暗号化設定や、SCPサーバーに関する設定を行います。
変更の反映には、サービスの再起動が必要です。
設定を保存後、Firewall Analyzerのサービスを停止させ、設定の反映をお願いいたします。
SSHセキュリティ設定
SSHを使用して、Firewall Analyzerから、対象機器のFirewallやその他セキュリティ装置との通信が可能ですが、SSHには脆弱性も含まれております。
本機能を使用して、脆弱性のある暗号をブロックし、システムのセキュリティ向上を図ります。
ブロックする暗号
Firewall AnalyzerでSSHを使用する場合、選択した暗号化アルゴリズムを対象にブロックします。
- aes256-gcm@openssh.com
- aes128-gcm@openssh.com
- chacha20-poly1305@openssh.com
- aes256-ctr
- aes192-ctr
- aes128-ctr
- arcfour256
- aes256-cbc
- aes192-cbc
- aes128-cbc
- blowfish-cbc
- 3des-cbc
- 3des-ctr
- arcfour128
- arcfour
許可する鍵交換
Firewall AnalyzerでSSHを使用する場合、選択した鍵交換アルゴリズムを対象に通信を許可します。
- curve25519-sha256
- rsa2048-sha256
- rsa1024-sha1
- curve25519-sha256@libssh.org
- diffie-hellman-group18-sha512
- diffie-hellman-group17-sha512
- diffie-hellman-group16-sha512
- diffie-hellman-group15-sha512
- diffie-hellman-group14-sha256
- diffie-hellman-group14-sha1
- diffie-hellman-group-exchange-sha256
- diffie-hellman-group-exchange-sha1
- ecdh-sha2-nistp384
- ecdh-sha2-nistp521
- diffie-hellman-group1-sha1
- ecdh-sha2-nistp256
ブロックされたHMAC
Firewall AnalyzerでSSHを使用する場合、選択した暗号ハッシュアルゴリズムを対象にブロックします。
- hmac-sha2-512-etm@openssh.com
- hmac-sha2-512-96
- hmac-sha2-512
- hmac-sha2-256-etm@openssh.com
- hmac-sha2-256
- hmac-sha2-256-96
- hmac-sha1-etm@openssh.com
- hmac-sha1
- hmac-sha1-96
- hmac-md5
- hmac-md5-etm@openssh.com
- hmac-md5-96
SCPサーバー
本設定では、[設定]→[FWAサーバー]→[装置ルール]機能で、認証プロトコル[SSH-SCP]を利用する際のSCPサーバー設定を行います。
[SCPサーバーを有効にする]をチェックし、SCPサーバーの起動を確認します。
ビルド12.5.605以降、SCPパスワードの更新を強制化する仕様が追加されました。
ご利用環境で該当の画面が表示された場合には、SCPパスワードの更新をお願いします。
概要は、こちらのナレッジをご参照ください。
- 次のIPを使用
全てのIP(0.0.0.0)またはインストールサーバーのNIC IPを設定 - サーバー
Firewall AnalyzerのSCPサーバーとして使用するIP(デフォルト:インストールサーバーIP) - SCPユーザー名
- パスワード
