Connectrix Brocade: Przestarzałe ustawienie SHA1 dla luki w zabezpieczeniach SSH

Szyfry SHA1 nie są obecne w danych wyjściowych seccryptocfg. Ale skanowanie bezpieczeństwa nadal zaznacza tę lukę. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

W wersjach FOS wcześniejszych niż FOS 9.2.2 klucz hosta/pub RSA SSH używa algorytmu mieszania (SHA1), który nie jest już uważany za wystarczająco silny i często zgłaszany jako potencjalna luka w zabezpieczeniach przez narzędzia skanujące (takie jak Qualys).

Podczas gdy użytkownicy mogą generować i używać klucza hosta/pubkey ECDSA SSH zamiast RSA, oprogramowanie FOS w wersji 9.2.2 zostało ulepszone, aby umożliwić administratorowi konfigurowanie algorytmów SSH HostkeyAlgorithms i PubkeyAlgorithms dla połączeń SSH do/z FOS oraz umożliwić silniejsze klucz hosta/klucz publiczny RSA przy użyciu polecenia seccryptocfg.
 

Uaktualnij oprogramowanie FOS do wersji FOS 9.2.2.

Szablony kryptograficzne w FOS w wersji 9.2.2 są aktualizowane o wpisy kluczy "HostKeyAlgorithms" i "PubKeyAlgorithms" w obszarze SSH.

Przykład platform dostarczanych fabrycznie z FOS 9.2.2:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Tak więc nowe atrybuty "HostkeyAlg" i "PubkeyAlg" są dostępne za pomocą polecenia 'seccryptocfg --apply' , aby skonfigurować platformy uaktualnione do FOS w wersji 9.2.2.
NUTA: Podczas konfigurowania SSH HostkeyAlgorithms i PubkeyAlgorithms przy użyciu 'seccryptocfg --apply'usługa SSH (w FOS) zostanie uruchomiona ponownie w celu załadowania nowej konfiguracji, a wszystkie istniejące sesje SSH na bieżącym CP, a także na rezerwowym CP (w obudowie) zostaną zakończone.

Przykład:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’