Connectrix Brocade: Zastaralé nastavení SHA1 pro chybu zabezpečení SSH

Ve výstupu seccryptocfg nejsou přítomny žádné šifry SHA1. Bezpečnostní kontrola však tuto chybu zabezpečení stále označuje. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

Ve verzích FOS starších než FOS 9.2.2 používají klíče RSA SSH hostkey/pubkey algoritmus hash (SHA1), který již není považován za dostatečně silný a skenovací nástroje (například Qualys) jej běžně hlásí jako potenciální chybu zabezpečení.

Přestože uživatelé mohou namísto RSA generovat a používat klíč hostitele / pubkey ECDSA SSH, systém FOS v9.2.2 je vylepšen a umožňuje správci konfigurovat SSH HostkeyAlgorithms a PubkeyAlgorithms pro připojení SSH do/z FOS a povolit silnější RSA hostkey/pubkey pomocí příkazu seccryptocfg.
 

Upgradujte přepínač na verzi FOS 9.2.2.

Kryptografické šablony v systému FOS v9.2.2 jsou aktualizovány o položky klíčů "HostKeyAlgorithms" a "PubKeyAlgorithms" v části SSH.

Příklad platforem dodávaných s FOS v9.2.2 z výroby:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Proto jsou pomocí příkazu k dispozici nové atributy "HostkeyAlg" a "PubkeyAlg" 'seccryptocfg --apply' Konfigurace platforem upgradovaných na verzi FOS v9.2.2.
POZNÁMKA: Při konfiguraci nástrojů SSH HostkeyAlgorithms a PubkeyAlgorithms pomocí 'seccryptocfg --apply', služba SSH (v FOS) se restartuje, aby se načetla nová konfigurace, a všechny stávající relace SSH v aktuálním CP i v pohotovostním CP (v šasi) budou ukončeny.

Příklad:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’