ERRORES SSHD

javcasta

Hola

Hay una negociación ssh entre ese banco y pfSense. Y debido a la actualización no aceptan el algoritmo de intercambio de llaves el banco o el pfSense

Mira este post : https://forum.pfsense.org/index.php?topic=116823.0

https://doc.pfsense.org/index.php/2.3.2_New_Features_and_Changes#SSH_Daemon

La solución que dice openSSH es:

The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

O actualizar el SW en el punto final (el banco no creo que te haga caso) o activar el algoritmo "desfasado" en tu openSSH de pfSense.

No lo he hecho esto, así que te recomiendo buscar un procedimiento de como hacerlo:

Buscar algo como: Enable old key exchange algorithm in openSSH o enable diffie-hellman-group1-sha1 openSSH pfSense

–añadido ---

Ten encuenta:

SSH Daemon

NOTE: The ssh host keys were made more secure, and if a client remembers an older, weaker key, the ssh client may refuse to connect. Remove the older key and then make the ssh client learn the new key.
    Changed sshd to use stronger Key Exchange algorithms and disabled some older, weaker algorithms. Clients may need to be updated to handle the new Key Exchange methods.
        Currently allowed Key Exchange Algorithms: curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
    Removed the ECDSA host key from the sshd configuration
    Added ED25519 host key to the sshd configuration
    Changed the list of available ciphers.
        Current allowed ciphers: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
    Changed the list of available Message Authentication Code methods,
        Current MAC list: hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

Salu2

javcasta

Hola

Si las conexiones ssh a ese banco son desde un cliente windows de tu lan, la lista de Know_hosts puede que esté en: %USERPROFILE%.ssh

Para acceder al dir desde cmd

cd /d "%USERPROFILE%\.ssh"

Borrando ese fichero, cuando vuelvas a intentar establecer conexión ssh con el banco, se volverá a preguntar si se confia en ese host y si se contesta yes, creo que se vuelve a crear la key

Si no, mira este post sobre como crear key ssh en win con putty

https://docs.joyent.com/public-cloud/getting-started/ssh-keys/generating-an-ssh-key-manually/manually-generating-your-ssh-key-in-windows

Salu2

ptt

@diewoex:

al parecer esa ip es la de un banco,

y no puedo realizar operaciones,

ya que me muestra un error diciendo de que el tiempo de espera se agoto

Trabajas con un Banco de China ? http://bgp.he.net/ip/116.31.116.7#_whois

Realizas la operaciones vía SSH ? (no son usualmente HTTPS ? )

El error "diciendo de que el tiempo de espera se agoto " te aparece en dónde ?

Lo que aparece en el Log, (si no me equivoco) indica que la IP 116.31.116.7 (CHINANET-GD) es la que trata de conectarse a tu pfSense ???

iplost

Ok. y el pfSense no admite  el algoritmo key exchange del cliente ssh chino,  por lo que  rechaza la conexión

javcasta

Hola

¿Navegas por tunel ssh?.

Pues no sabria decir, pero me da que Ptt va a estar en lo cierto y parece un intento de conexión

origen ( 116.31.116.7 port 61700 ) –- protocol ssh ---> destino ( tu pfSense, imagino que puerto tcp22)

Por lo que el problema seria que el cliente ssh del banco chino no está actualizado y no tiene los algoritmos de intercambio de llaves necesarios

Salu2

diewoex

Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.

ptt

Pues la IP del Log Corresponde a China  http://bgp.he.net/ip/116.31.116.7#_whois

inetnum:        116.16.0.0 - 116.31.255.255
netname:        CHINANET-GD
descr:          CHINANET Guangdong province network
descr:          China Telecom
descr:          No.31,jingrong street
descr:          Beijing 100032
country:        CN
admin-c:        CH93-AP
tech-c:         IC83-AP
mnt-by:         APNIC-HM
mnt-lower:      MAINT-CHINANET-GD
mnt-routes:     MAINT-CHINANET-GD
status:         ALLOCATED PORTABLE
remarks:        --------------------------------------------------------
remarks:        To report network abuse, please contact mnt-irt
remarks:        For troubleshooting, please contact tech-c and admin-c
remarks:        Report invalid contact via www.apnic.net/invalidcontact
remarks:        --------------------------------------------------------
source:         APNIC
mnt-irt:        IRT-CHINANET-CN
changed:        hm-changed@apnic.net 20070307

irt:            IRT-CHINANET-CN
address:        No.31 ,jingrong street,beijing
address:        100032
e-mail:         anti-spam@ns.chinanet.cn.net
abuse-mailbox:  anti-spam@ns.chinanet.cn.net
admin-c:        CH93-AP
tech-c:         CH93-AP
auth:           # Filtered
mnt-by:         MAINT-CHINANET
changed:        anti-spam@ns.chinanet.cn.net 20101115
source:         APNIC

person:         Chinanet Hostmaster
nic-hdl:        CH93-AP
e-mail:         anti-spam@ns.chinanet.cn.net
address:        No.31 ,jingrong street,beijing
address:        100032
phone:          +86-10-58501724
fax-no:         +86-10-58501724
country:        CN
changed:        dingsy@cndata.com 20070416
changed:        zhengzm@gsta.com 20140227
mnt-by:         MAINT-CHINANET
source:         APNIC

person:         IPMASTER CHINANET-GD
nic-hdl:        IC83-AP
e-mail:         gdnoc_HLWI@189.cn
address:        NO.18,RO. ZHONGSHANER,YUEXIU DISTRIC,GUANGZHOU
phone:          +86-20-87189274
fax-no:         +86-20-87189274
country:        CN
changed:        ipadm@189.cn 20110418
changed:        zhengzm@gsta.com 20140922
mnt-by:         MAINT-CHINANET-GD
remarks:        IPMASTER is not for spam complaint,please send spam complaint to abuse_gdnoc@189.cn
abuse-mailbox:  antispam_gdnoc@189.cn
source:         APNIC

y SSH != HTTPS  ;)

Tu "problema" con el "Banco" viene por otro lado…

javcasta

Hola

Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.]Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional

¿Navegas con tunel ssh?
¿Necesita el banco o su web establecer una conexión ssh a tu pfSense?
¿Para que tienes abierto en la wan ssh, para administración remota?

Mira este post, mmm
@celtica:

fatal: Unable to negotiate with 116.31.116.6 port 29141: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]

I traced the IP to China (I am not in china) and it appears to be constantly hitting it several times a minute on different ports…wondering if this is a process built into pfsense, or if I should be blocking this IP?

Suggestions on course of action?

Thanks

Salu2

iplost

Yo bloqueaba  esa  ip y todo su rango de redes,  o  con pfBlockerNG bloquear a China  directamente  ;D

javcasta

Hola

Yo bloqueaba  esa  ip y todo su rango de redes,  o  con pfBlockerNG bloquear a China  directamente  ;D

Ya la tengo bloqueada a China , los logs de escaneos desde china, eran monumentales :)

Salu2

diewoex

Como bloqueo dicha ip y como podria saber desde donde se esta ingresando a esa ip

iplost

No sabes bloquear una ip con pfSense?  Hay mil maneras , busca en el foro y elige la que te interese  ;D

javcasta

Hola

La forma más facil, vía gui, de bloquear una ip, es desde Satus > System Logs > Firewall : Y en una entrada de log de esa IP clikar en icono: Easy Rule: Add to block list

Creo que debes de mirar doc básica de pfSense, se tarda una o dos horas en aprender lo básico y viene bien para soltarse en la administración de pfSense.

Salu2