Connectrix Brocade : Paramètre SHA1 obsolète pour la vulnérabilité SSH

Aucun chiffrement SHA1 n’est présent dans la sortie seccryptocfg. Mais l’analyse de sécurité marque toujours cette vulnérabilité. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

Dans les versions de FOS antérieures à FOS 9.2.2, la clé d’hôte/clé publique RSA SSH utilise un algorithme de hachage (SHA1) qui n’est plus considéré comme suffisamment puissant et qui est généralement signalé comme une vulnérabilité potentielle par les outils d’analyse (tels que Qualys).

Alors que les utilisateurs peuvent générer et utiliser ECDSA SSH hostkey/pubkey au lieu de RSA, FOS v9.2.2 est amélioré pour permettre à l’administrateur de configurer SSH HostkeyAlgorithms et PubkeyAlgorithms pour les connexions SSH vers/depuis FOS et d’autoriser une clé d’hôte RSA plus forte/pubkey à l’aide de la commande seccryptocfg.
 

Mettez à niveau le commutateur vers FOS 9.2.2.

Les modèles cryptographiques dans FOS v9.2.2 sont mis à jour avec les entrées de clé « HostKeyAlgorithms » et « PubKeyAlgorithms » sous SSH.

Exemple pour les plates-formes livrées avec FOS v9.2.2 en usine :
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Ainsi, les nouveaux attributs « HostkeyAlg » et « PubkeyAlg » sont disponibles avec la commande 'seccryptocfg --apply' pour configurer les plates-formes mises à niveau vers FOS v9.2.2.
NOTE: Lors de la configuration de SSH HostkeyAlgorithms et PubkeyAlgorithms à l’aide de 'seccryptocfg --apply', le service SSH (dans FOS) est redémarré pour charger la nouvelle configuration et toutes les sessions SSH existantes sur le CP actuel ainsi que sur le CP de secours (dans le châssis) sont arrêtées.

Exemple :

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’