Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

ASA решения для уязвимости BEAST

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает уязвимость в устройстве адаптивной защиты Cisco (ASA) sowftware, который позволяет неавторизованный пользователям обращаться к защищенному содержанию. Обходные пути для этой проблемы также описаны.

Внесенный Atri Basu, Лореном Колнесом, и Нарендрой Мекой, специалистами службы технической поддержки Cisco.

Проблема

Использование Браузера Против SSL/TLS (BEAST), уязвимость усилена атакующим для эффективного чтения защищенного содержания через объединение в цепочку Вектора инициализации (IV) в режиме шифрования Сцепления блоков шифра (CBC) с известной атакой простого текста.

Атака использует программное средство, которое использует уязвимость в широко используемом протоколе Версии 1 (TLSv1) Transport Layer Security. Проблема не базирована в самом протоколе, а скорее наборах шифров, которые это использует. TLSv1 и Версия 3 (SSLv3) Уровня защищенных сокетов одобряют шифры CBC, где  происходит атака Oracle Заполнения

Вмешательство пользователя

Как обозначено обзором реализации SSL Импульса SSL, созданным Защищенным интернет-Перемещением, более чем 75% SSL - серверов восприимчивы к этой уязвимости. Однако логистика, связанная с программным средством BEAST, является справедливо сложной. Для использования BEAST для подслушивания трафик, у атакующего должна быть возможность считать и ввести пакеты очень быстро. Это потенциально ограничивает эффективные цели для атаки BEAST. Например, атакующий BEAST может эффективно захватить случайный трафик в оперативной точке WIFI или где весь интернет-трафик является bottlenecked через ограниченное число сетевых шлюзов.

Решение

BEAST является использованием слабости в шифре , который используется протоколом. Так как это влияет на шифр CBC, исходный обходной путь для этой проблемы должен был переключиться к шифру RC4 вместо этого. Однако Слабые места в статье Key Scheduling Algorithm of RC4, которая была опубликована в 2013, показывают, что даже RC4 имел слабость, которая сделала его неподходящим.

Для обхождения этой проблемы Cisco внедрил эти два, исправляет для ASA:

  • Идентификатор ошибки Cisco CSCts83720: Обновление к TLS 1.1/1.2

    Обновление и TLS использования 1.1/1.2. Ограничение с этим решением - то, что оно применяет только к ASA 5500-X Платформы ASA. Аппаратное обеспечение шифрования на устаревших платформах ASA (ASA 5505 и серия 5500 ASA) не поддерживает TLSv1.2. В результате исправление для этих платформ не выполнимо.

    Из-за ограничений протокола, нет никакого решения для SSLv3 или TLSv1.0; однако, самые современные браузеры внедрили другие способы смягчения.

  • Идентификатор ошибки Cisco CSCuc85781: Рандомизация Cookie WebVPN

    Для версий программного обеспечения ASA, которые не поддерживают TLSv1.2, Cisco сделал cookie случайными с этим исправлением для снижения риска. Это не полностью предотвращает атаки BEAST, но это помогает смягчать их.

Совет: Единственный путь, который будет полностью защищен от уязвимости BEAST, состоит в том, чтобы использовать TLSv1.2. Это подобно шифрам. Cisco продолжает добавлять более новые, более сильные шифры в более новом коде, и более старые шифры могли бы иметь известные неполадки (такие как RC4). Таким образом Cisco рекомендует переместиться в более новые протоколы и шифры. 


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.