Connectrix Brocade: SSH güvenlik açığı için SHA1 kullanım dışı ayarı

Seccryptocfg çıkışında SHA1 şifresi yok. Ancak güvenlik taraması hala bu güvenlik açığını işaretliyor. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

FOS 9.2.2'den önceki FOS sürümlerinde, RSA SSH ana bilgisayar anahtarı/açık anahtarı, artık yeterince güçlü kabul edilmeyen ve tarama araçları (Qualys gibi) tarafından yaygın olarak potansiyel bir güvenlik açığı olarak bildirilen bir karma algoritması (SHA1) kullanır.

Kullanıcılar RSA yerine ECDSA SSH ana bilgisayar anahtarı/pubkey oluşturup kullanabilirken FOS v9.2.2, yöneticinin FOS ile/FOS'dan SSH bağlantıları için SSH HostkeyAlgorithms ve PubkeyAlgorithms işlemlerini yapılandırmasına ve seccryptocfg komutunu kullanarak daha güçlü RSA ana bilgisayar anahtarına/pubkey anahtarına izin vermesine izin verecek şekilde geliştirilmiştir.
 

Anahtarı FOS 9.2.2 ye yükseltin.

FOS v9.2.2'deki şifreleme şablonları, SSH altındaki "HostKeyAlgorithms" ve "PubKeyAlgorithms" anahtar girişleriyle güncellenmiştir.

Fabrikadan FOS v9.2.2 ile gönderilen platformlar için örnek:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Yeni "HostkeyAlg" ve "PubkeyAlg" öznitelikleri komutla birlikte kullanılabilir 'seccryptocfg --apply' FOS v9.2.2 sürümüne yükseltilen platformları yapılandırmak için.
NOT: SSH HostkeyAlgorithms ve PubkeyAlgorithms öğelerini kullanarak yapılandırırken 'seccryptocfg --apply', SSH hizmeti (FOS'de) yeni yapılandırmayı yüklemek için yeniden başlatılır ve mevcut CP'nin yanı sıra beklemedeki CP'deki (kasadaki) tüm mevcut SSH oturumları sonlandırılır.

Örneğin:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’