Connectrix Brocade: SHA1-inaktuell inställning för SSH-sårbarhet

Inga SHA1-chiffer finns i seccryptocfg-utdata. Men säkerhetsskanningen markerar fortfarande denna sårbarhet. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

I FOS-versioner före FOS 9.2.2 använder RSA SSH-värdnyckel/pubkey en hashalgoritm (SHA1) som inte längre anses vara tillräckligt stark och som ofta rapporteras som en potentiell säkerhetsrisk av genomsökningsverktyg (t.ex. Qualys).

Användare kan generera och använda ECDSA SSH-värdnyckel/pubnyckel i stället för RSA, men FOS v9.2.2 har förbättrats så att administratören kan konfigurera SSH HostkeyAlgorithms och PubkeyAlgorithms för SSH-anslutningar till/från FOS och tillåta starkare RSA-värdnyckel/pubkey med kommandot seccryptocfg.
 

Uppgradera switchen till FOS 9.2.2.

De kryptografiska mallarna i FOS v9.2.2 uppdateras med nyckelposterna "HostKeyAlgorithms" och "PubKeyAlgorithms" under SSH.

Exempel för plattformar som levereras med FOS v9.2.2 från fabrik:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Därför är de nya attributen "HostkeyAlg" och "PubkeyAlg" tillgängliga med kommandot 'seccryptocfg --apply' för att konfigurera plattformar som uppgraderats till FOS v9.2.2.
NOT: När du konfigurerar SSH HostkeyAlgorithms och PubkeyAlgorithms med hjälp av 'seccryptocfg --apply'startas SSH-tjänsten (i FOS) om för att läsa in den nya konfigurationen och alla befintliga SSH-sessioner på den aktuella kontrollprocessorn samt på standby-kontrollprocessorn (i chassit) avslutas.

Exempel:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’