[ Appunti ] RouterOS problema ssh – ssh-dss e DH GEX error

Oggi mi sono imbattuto in un errore durante un ssh su un RouterOS.

si tratta di un problema di DSA, quindi effettuando un controllo mi rendo conto che il mio client ssh è aggiornato all’ultima release OpenSSH_7.3p1, LibreSSL 2.4.1, mentre la versione su RouterOS è ferma alla 2.6.

La nuova release di OpenSSH non supporta più la codifica DSA, quindi nel nostro caso non potendo aggiornare la versione presente sul server, dobbiamo informare il nostro client di usare invece tale codifica, aggiungendo alla stringa di connessione la relativa opzione

questo ci permetterà di poter sfruttare questa chiave di codifica senza problemi.

Ma ecco che incombiamo in un altro errore tentando il login anche con la nuova stringa:

questo perchè con la nuova versione di SSH, è stata innalzata la dimensione minima della chiave Diffie-Hellman (DH) da 1024bit a 2048 bit.

Per superare questo inconveniente possiamo passare un ulteriore opzione alla nostra stringa di connessione:

e con questo abbiamo aggirato il problema, ma se non vogliamo aggiungere ad ogni stringa queste opzioni, possiamo impostarle in maniera definitiva nel file ~/.ssh/config forzando TUTTE le connessioni ad utilizzare queste impostazioni:

ma ricordiamo queste impostazioni valgono da questo momento per tutte le connessioni, il che non è molto sicuro!

Possiamo eventualmente ridurre l’host di connessione o il range, per esempio nel caso di tutti i dispositivi della subnet 192.168.1.0/24 posso utilizzare la seguente opzione, nel file config

adesso queste opzioni varranno SOLO ed ESCLUSIVAMENTE per tutte le connessioni ssh che fanno parte della subnet specificata.

Nel caso particolare di dispositivi RouterOS, è possibile impostare un opzione che permette di risolvere il problema definitivamente, senza la necessità di passare nessuna opzione durante la connessione ssh:

ricordiamo cosa imposta questa opzione, utilizzabile solo dalle versioni di RouterOS > v.6.31

Good Hack!

Curioso e con tanta voglia di sapere, fui attratto dal mondo dell'informatica, in cui mi ci buttai a capofitto. Dal 2005, ho fatto della mia passione principale, il Networking associato al mondo dei sistemi in ambiente Gnu/Linux, il mio lavoro quotidiano.

Comments are closed.