ERRORES SSHD



  • Buenas tardes Comunidad,
    tengo el siguiente mensaje en los logs del sistema, me podrían comentar a que se debe

    Nov 7 12:25:18 sshd 89368 fatal: Unable to negotiate with 116.31.116.7 port 61700: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]

    Gracias.



  • Hola

    https://www.openssh.com/legacy.html

    Unable to negotiate with legacyhost: no matching key exchange method found.
    Their offer: diffie-hellman-group1-sha1

    In this case, the client and server were unable to agree on the key exchange algorithm. The server offered only a single method diffie-hellman-group1-sha1. OpenSSH supports this method, but does not enable it by default because is weak and within theoretical range of the so-called Logjam attack.

    El algoritmo de intercambio de llave (key) no ha sido aceptado por el cliente y/o el servidor ssh.

    En la versión de pfSense 2.3, actualizaron la versión de openSSH y sus algoritmos de intercambio de llaves, seguramente deberás actualizar el cliente ssh de 116.31.116.7 (yo tuve problemas con algún cliente ssh, como filezilla, mobaxterm, putty, etc tras el paso de pfSense 2.2 a 2.3 por la misma razón)

    Salu2



  • Tengo la version 2.3.2-RELEASE-p1 (amd64) , y al parecer esa ip es la de un banco,
    y no puedo realizar operaciones,
    ya que me muestra un error diciendo de que el tiempo de espera se agoto



  • Hola

    Hay una negociación ssh entre ese banco y pfSense. Y debido a la actualización no aceptan el algoritmo de intercambio de llaves el banco o el pfSense

    Mira este post : https://forum.pfsense.org/index.php?topic=116823.0

    https://doc.pfsense.org/index.php/2.3.2_New_Features_and_Changes#SSH_Daemon

    La solución que dice openSSH es:

    The best resolution for these failures is to upgrade the software at the other end. OpenSSH only disables algorithms that we actively recommend against using because they are known to be weak. In some cases, this might not be immediately possible so you may need to temporarily re-enable the weak algorithms to retain access.

    O actualizar el SW en el punto final (el banco no creo que te haga caso) o activar el algoritmo "desfasado" en tu openSSH de pfSense.

    No lo he hecho esto, así que te recomiendo buscar un procedimiento de como hacerlo:

    Buscar algo como: Enable old key exchange algorithm in openSSH o enable diffie-hellman-group1-sha1 openSSH pfSense

    –añadido ---

    Ten encuenta:

    SSH Daemon

    NOTE: The ssh host keys were made more secure, and if a client remembers an older, weaker key, the ssh client may refuse to connect. Remove the older key and then make the ssh client learn the new key.
        Changed sshd to use stronger Key Exchange algorithms and disabled some older, weaker algorithms. Clients may need to be updated to handle the new Key Exchange methods.
            Currently allowed Key Exchange Algorithms: curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256
        Removed the ECDSA host key from the sshd configuration
        Added ED25519 host key to the sshd configuration
        Changed the list of available ciphers.
            Current allowed ciphers: chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
        Changed the list of available Message Authentication Code methods,
            Current MAC list: hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com

    Salu2



  • Hola

    Si las conexiones ssh a ese banco son desde un cliente windows de tu lan, la lista de Know_hosts puede que esté en: %USERPROFILE%.ssh

    Para acceder al dir desde cmd

    cd /d "%USERPROFILE%\.ssh"
    

    Borrando ese fichero, cuando vuelvas a intentar establecer conexión ssh con el banco, se volverá a preguntar si se confia en ese host y si se contesta yes, creo que se vuelve a crear la key

    Si no, mira este post sobre como crear key ssh en win con putty

    https://docs.joyent.com/public-cloud/getting-started/ssh-keys/generating-an-ssh-key-manually/manually-generating-your-ssh-key-in-windows

    Salu2


  • Rebel Alliance

    @diewoex:

    al parecer esa ip es la de un banco,

    y no puedo realizar operaciones,

    ya que me muestra un error diciendo de que el tiempo de espera se agoto

    Trabajas con un Banco de China ? http://bgp.he.net/ip/116.31.116.7#_whois

    Realizas la operaciones vía SSH ? (no son usualmente HTTPS ? )

    El error "diciendo de que el tiempo de espera se agoto " te aparece en dónde ?

    Lo que aparece en el Log, (si no me equivoco) indica que la IP 116.31.116.7 (CHINANET-GD) es la que trata de conectarse a tu pfSense ???



  • Ok. y el pfSense no admite  el algoritmo key exchange del cliente ssh chino,  por lo que  rechaza la conexión



  • Hola

    ¿Navegas por tunel ssh?.

    Pues no sabria decir, pero me da que Ptt va a estar en lo cierto y parece un intento de conexión

    origen ( 116.31.116.7 port 61700 ) –- protocol ssh ---> destino ( tu pfSense, imagino que puerto tcp22)

    Por lo que el problema seria que el cliente ssh del banco chino no está actualizado y no tiene los algoritmos de intercambio de llaves necesarios

    Salu2



  • Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.


  • Rebel Alliance

    Pues la IP del Log Corresponde a China  http://bgp.he.net/ip/116.31.116.7#_whois

    
    inetnum:        116.16.0.0 - 116.31.255.255
    netname:        CHINANET-GD
    descr:          CHINANET Guangdong province network
    descr:          China Telecom
    descr:          No.31,jingrong street
    descr:          Beijing 100032
    country:        CN
    admin-c:        CH93-AP
    tech-c:         IC83-AP
    mnt-by:         APNIC-HM
    mnt-lower:      MAINT-CHINANET-GD
    mnt-routes:     MAINT-CHINANET-GD
    status:         ALLOCATED PORTABLE
    remarks:        --------------------------------------------------------
    remarks:        To report network abuse, please contact mnt-irt
    remarks:        For troubleshooting, please contact tech-c and admin-c
    remarks:        Report invalid contact via www.apnic.net/invalidcontact
    remarks:        --------------------------------------------------------
    source:         APNIC
    mnt-irt:        IRT-CHINANET-CN
    changed:        hm-changed@apnic.net 20070307
    
    irt:            IRT-CHINANET-CN
    address:        No.31 ,jingrong street,beijing
    address:        100032
    e-mail:         anti-spam@ns.chinanet.cn.net
    abuse-mailbox:  anti-spam@ns.chinanet.cn.net
    admin-c:        CH93-AP
    tech-c:         CH93-AP
    auth:           # Filtered
    mnt-by:         MAINT-CHINANET
    changed:        anti-spam@ns.chinanet.cn.net 20101115
    source:         APNIC
    
    person:         Chinanet Hostmaster
    nic-hdl:        CH93-AP
    e-mail:         anti-spam@ns.chinanet.cn.net
    address:        No.31 ,jingrong street,beijing
    address:        100032
    phone:          +86-10-58501724
    fax-no:         +86-10-58501724
    country:        CN
    changed:        dingsy@cndata.com 20070416
    changed:        zhengzm@gsta.com 20140227
    mnt-by:         MAINT-CHINANET
    source:         APNIC
    
    person:         IPMASTER CHINANET-GD
    nic-hdl:        IC83-AP
    e-mail:         gdnoc_HLWI@189.cn
    address:        NO.18,RO. ZHONGSHANER,YUEXIU DISTRIC,GUANGZHOU
    phone:          +86-20-87189274
    fax-no:         +86-20-87189274
    country:        CN
    changed:        ipadm@189.cn 20110418
    changed:        zhengzm@gsta.com 20140922
    mnt-by:         MAINT-CHINANET-GD
    remarks:        IPMASTER is not for spam complaint,please send spam complaint to abuse_gdnoc@189.cn
    abuse-mailbox:  antispam_gdnoc@189.cn
    source:         APNIC
    
    

    y SSH != HTTPS  ;)

    Tu "problema" con el "Banco" viene por otro lado…



  • Hola

    Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional.]Les comento que la conexión se hace mediante HTTPS, y no es banco chino si no nacional

    ¿Navegas con tunel ssh?
    ¿Necesita el banco o su web establecer una conexión ssh a tu pfSense?
    ¿Para que tienes abierto en la wan ssh, para administración remota?

    Mira este post, mmm
    @celtica:

    fatal: Unable to negotiate with 116.31.116.6 port 29141: no matching key exchange method found. Their offer: diffie-hellman-group14-sha1,diffie-hellman-group-exchange-sha1,diffie-hellman-group1-sha1 [preauth]

    I traced the IP to China (I am not in china) and it appears to be constantly hitting it several times a minute on different ports…wondering if this is a process built into pfsense, or if I should be blocking this IP?

    Suggestions on course of action?

    Thanks

    Salu2



  • Yo bloqueaba  esa  ip y todo su rango de redes,  o  con pfBlockerNG bloquear a China  directamente  ;D



  • Hola

    Yo bloqueaba  esa  ip y todo su rango de redes,  o  con pfBlockerNG bloquear a China  directamente  ;D

    Ya la tengo bloqueada a China , los logs de escaneos desde china, eran monumentales :)

    Salu2



  • Como bloqueo dicha ip y como podria saber desde donde se esta ingresando a esa ip



  • No sabes bloquear una ip con pfSense?  Hay mil maneras , busca en el foro y elige la que te interese  ;D



  • Hola

    La forma más facil, vía gui, de bloquear una ip, es desde Satus > System Logs > Firewall : Y en una entrada de log de esa IP clikar en icono: Easy Rule: Add to block list

    Creo que debes de mirar doc básica de pfSense, se tarda una o dos horas en aprender lo básico y viene bien para soltarse en la administración de pfSense.

    Salu2


Log in to reply