SSH: no key exchange, no host key type, no cipher

May 14, 2019

Reading time ~2 Minuten

Auf dem Laptop ein aktuelles Linuxsystem mit SSH Client, das gegenüber ein Smart Switch von TP-Link: der TL-SG2210P mit der letzten verfügbaren Firmware von 09/2016.

"Damals" eigentlich ein cooler Managed-Switch für aktuell ca. 120,- Euro (05/2019): 8x 1Gb RJ45 mit PoE (53W) und 2x 1Gb SFP. Was ob der nicht ganz so alten Firmware von Ende 2016 nicht zu erwarten war: dass eine SSH Verbindung zum CLI Interface nicht ganz so einfach ist und eine Menge an "Legacy Options" notwendig sind... also Optionen, die aus dem Standardrepertoire entfernt wurden weil sie schlichtweg nicht mehr sicher sind...

no matching key exchange

ssh -l admin 192.168.0.200

Unable to negotiate with 192.168.0.200 port 22: no matching key exchange method found. Their offer: diffie-hellman-group1-sha1

Da hier keine kritische Infrastruktur involviert ist können sicherheitsbedenken (SHA1 und DHM mit Logjam spätestens seit 2015 am Ende) ganz easy mit einem -oKexAlgorithms=+diffie-hellman-group1-sha1 über Bord geworfen werden.

no matching host key type

ssh -l admin -oKexAlgorithms=+diffie-hellman-group1-sha1 192.168.0.200

Unable to negotiate with 192.168.0.200 port 22: no matching host key type found. Their offer: ssh-dss

Aja, nun also der Digital Signature Standard (DSS) von 1996, zuletzt 2013 in der Version 4 veröffentlicht, wieso also also nicht: -oHostKeyAlgorithms=+ssh-dss.

no matching cipher found

ssh -l admin -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss 192.168.0.200

Unable to negotiate with 192.168.0.200 port 22: no matching cipher found. Their offer: aes128-cbc,aes192-cbc,aes256-cbc,blowfish-cbc,cast128-cbc,3des-cbc

Eine Liste an Blockchiffren (CBC), die großteils 2015 aus Sicherheitsgründen deaktiviert wurden... rein damit! -c aes256-cbc

Schlussendlich: mission "ssh" accomplished

ssh -l admin -oKexAlgorithms=+diffie-hellman-group1-sha1 -oHostKeyAlgorithms=+ssh-dss -c aes256-cbc 192.168.0.200

...und die Verbindung steht!

Just my two cents: überglücklich dass man sein Ziel erreicht hat und die SSH-Verbindung nun steht stellt man sich nicht die Frage, wieso der Switch Mitte 2019 noch immer für 120,- verkauft wird, ein Switch mit Sicherheitsniveau von Vor-2015. tp-link hat tolle Produkte, aber sowas gehört entweder aktualisiert oder aus dem Verkauf genommen.

SSH Key Agents unter Linux und Windows/Cygwin

Schlüssel erzeugen Mit folgender Befehlskette lässt sich - unter Linux oder Windows mit z.B. Cygwin - leicht ein sicherer Schlüssel (4096 Bi…… Continue reading