Connectrix Brocade: SHA1 verouderde instelling voor SSH-beveiligingslek

Er zijn geen SHA1-cijfers aanwezig in seccryptocfg-uitvoer. Maar de beveiligingsscan markeert deze kwetsbaarheid nog steeds. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

In FOS-versies vóór FOS 9.2.2 gebruiken RSA SSH hostkey/pubkey een hashing-algoritme (SHA1) dat niet langer als voldoende sterk wordt beschouwd en vaak wordt gerapporteerd als een potentiële kwetsbaarheid door scantools (zoals Qualys).

Hoewel gebruikers ECDSA SSH hostkey/pubkey kunnen genereren en gebruiken in plaats van RSA, is FOS v9.2.2 verbeterd zodat de beheerder SSH HostkeyAlgorithms en PubkeyAlgorithms kan configureren voor SSH-verbindingen van/naar FOS en een sterkere RSA hostkey/pubkey mogelijk kan maken met behulp van de opdracht seccryptocfg.
 

Upgrade de switch naar FOS 9.2.2.

De cryptografische sjablonen in FOS v9.2.2 worden bijgewerkt met de sleutelitems "HostKeyAlgorithms" en "PubKeyAlgorithms" onder SSH.

Voorbeeld voor platforms die vanuit de fabriek worden geleverd met FOS v9.2.2:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

De nieuwe attributen "HostkeyAlg" en "PubkeyAlg" zijn dus beschikbaar met de opdracht 'seccryptocfg --apply' om platforms te configureren die zijn geüpgraded naar FOS v9.2.2.
NOTITIE: Bij het configureren van de SSH HostkeyAlgorithms en PubkeyAlgorithms met behulp van 'seccryptocfg --apply'wordt de SSH-service (in FOS) opnieuw gestart om de nieuwe configuratie te laden en worden alle bestaande SSH-sessies op de huidige CP en op de stand-by-CP (in chassis) beëindigd.

Voorbeeld:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’