Inleiding
Dit document beschrijft hoe u SSH server CBC mode-algoritmen op ASA moet uitschakelen.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Adaptieve security applicatie (ASA) platformarchitectuur
- Cycpher Block Chaining (CBC)
Gebruikte componenten
De informatie in dit document is gebaseerd op een Cisco ASA 5506 met OS 9.6.1.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Achtergrondinformatie
Op scan kwetsbaarheid CVE-2008-5161 is gedocumenteerd dat het gebruik van een algoritme van het blokalgoritme in het Koppelen van het Blok van het Kruis (CBC) wijze, het voor verre aanvallers gemakkelijker maakt om bepaalde duidelijke tekstgegevens van een willekeurig blok van cijfertekst in een SSH zitting via onbekende vectoren terug te krijgen.
Cijferblok Chaining is een manier van werken voor algoritme blok. Dit algoritme gebruikt een blokalgoritme om een informatiedienst zoals vertrouwelijkheid of authenticiteit te verlenen.
Probleem
Standaard is de ASA CBC-modus ingeschakeld op de ASA, wat een kwetsbaarheid zou kunnen zijn voor de klantinformatie.
Oplossing
Na de verbetering van Cisco bug-id CSCum6371, is de mogelijkheid om de ASA ssh-algoritmen aan te passen geïntroduceerd op versie 9.1(7), maar de release die officieel de commando's ssh-algoritme-encryptie en ssh-algoritme-integriteit heeft, is 9.6.1.
Gebruik deze procedure om CBC-modemcoderingen op SSH uit te schakelen:
Voer sh alle ssh op de ASA uit:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Als u het coderingsmedium voor het opdrachtalgoritme ziet, betekent dit dat de ASA algoritmen met een gemiddelde of hoge sterkte gebruikt, die standaard op de ASA zijn ingesteld.
Om de beschikbare ssh-encryptie-algoritmen in de ASA te kunnen zien, voert u de opdracht show ssh-algoritmen uit:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
De output toont alle beschikbare encryptie algoritmen: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Om de CBC-modus uit te schakelen zodat deze op de SSH-configuratie kan worden gebruikt, kunt u de te gebruiken coderingsalgoritmen aanpassen met deze opdracht:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Nadat dit is gedaan, voer de opdracht show run alle ssh. Nu, in de configuratie van de het cijferencryptie van het ssh, gebruiken alle algoritmen slechts wijze CTR:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Op dezelfde manier kunnen de SSH-integriteitsalgoritmen worden aangepast met de integriteit van het SSH-algoritme.
Feedback