Connectrix Brocade: Przestarzałe ustawienie SHA1 dla luki w zabezpieczeniach SSH
Podsumowanie: Przestarzałe ustawienie SHA1 dla luki w zabezpieczeniach SSH.
Objawy
Szyfry SHA1 nie są obecne w danych wyjściowych seccryptocfg. Ale skanowanie bezpieczeństwa nadal zaznacza tę lukę.
/fabos/link_abin/seccryptocfg --show: SSH Crypto: SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256 SSH MAC : hmac-sha2-256,hmac-sha2-512 TLS Ciphers: HTTPS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM HTTPS_TLS_v1.3 : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256 RADIUS : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM LDAP : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM SYSLOG : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM TLS Protocol: HTTPS : Any RADIUS : Any LDAP : Any SYSLOG : Any --- Truncated ---
Przyczyna
W wersjach FOS wcześniejszych niż FOS 9.2.2 klucz hosta/pub RSA SSH używa algorytmu mieszania (SHA1), który nie jest już uważany za wystarczająco silny i często zgłaszany jako potencjalna luka w zabezpieczeniach przez narzędzia skanujące (takie jak Qualys).
Podczas gdy użytkownicy mogą generować i używać klucza hosta/pubkey ECDSA SSH zamiast RSA, oprogramowanie FOS w wersji 9.2.2 zostało ulepszone, aby umożliwić administratorowi konfigurowanie algorytmów SSH HostkeyAlgorithms i PubkeyAlgorithms dla połączeń SSH do/z FOS oraz umożliwić silniejsze klucz hosta/klucz publiczny RSA przy użyciu polecenia seccryptocfg.
Rozwiązanie
Uaktualnij oprogramowanie FOS do wersji FOS 9.2.2.
Szablony kryptograficzne w FOS w wersji 9.2.2 są aktualizowane o wpisy kluczy "HostKeyAlgorithms" i "PubKeyAlgorithms" w obszarze SSH.
Przykład platform dostarczanych fabrycznie z FOS 9.2.2:
seccryptocfg --show SSH Crypto: SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192- cbc,aes256-cbc SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14- sha1 SSH MAC : hmac-sha2-256,hmac-sha2-512 SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521 SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521 TLS Ciphers: ------Truncated---------
Tak więc nowe atrybuty "HostkeyAlg" i "PubkeyAlg" są dostępne za pomocą polecenia 'seccryptocfg --apply' , aby skonfigurować platformy uaktualnione do FOS w wersji 9.2.2.
NUTA: Podczas konfigurowania SSH HostkeyAlgorithms i PubkeyAlgorithms przy użyciu 'seccryptocfg --apply'usługa SSH (w FOS) zostanie uruchomiona ponownie w celu załadowania nowej konfiguracji, a wszystkie istniejące sesje SSH na bieżącym CP, a także na rezerwowym CP (w obudowie) zostaną zakończone.
Przykład:
seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’ seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’