المقدمة
يصف هذا وثيقة كيف أن يعجز SSH نادل cbc أسلوب تشفير على ASA. يوثق CVE-2008-5161 عند إستخدام قابلية المسح الضوئي للمس أن إستخدام خوارزمية كتل التشفير في وضع توصيل كتل التشفير (CBC)، يسهل على المهاجمين البعيدين إسترداد بيانات نص عادي معينة من كتلة تعسفية من نص التشفير في جلسة SSH عبر متجهات غير معروفة.
توصيل كتلة التشفير (CBC) هو وضع عملية لكتلة التشفير، تستخدم هذه الخوارزمية تشفير الكتلة لتوفير خدمة إعلامية مثل السرية أو الأصالة.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بنية النظام الأساسي Adaptive Security Appliance ASA
- ربط كتل التشفير (CBC)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Cisco ASA 5506 مع OS 9.6.1.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
المشكلة
بشكل افتراضي، يتم تمكين وضع ASA CBC على ASA الذي يمكن أن يكون نقطة ضعف لمعلومات العملاء.
الحل
بعد التحسين CSCum63371، تم إدخال القدرة على تعديل شفرة ASA SSH في الإصدار 9.1(7)، ولكن الإصدار الذي يحتوي رسميا على الأوامر تشفير SSH وتكامل تشفير SSH هو 9.6.1.
لتعطيل شفرات وضع CBC على SSH، اتبع هذا الإجراء:
تشغيل "sh run all ssh" على ASA:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
إذا كنت ترى وسيط تشفير ssh الأمر، فهذا يعني أن ASA يستخدم شفرة متوسطة وعالية القوة والتي يتم إعدادها بشكل افتراضي على ASA.
لعرض خوارزميات تشفير SSH المتاحة في ASA، قم بتشغيل الأمر show ssh ciphers:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
يعرض الإخراج جميع خوارزميات التشفير المتوفرة: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
لتعطيل وضع CBC حتى يمكن إستخدامه على تكوين SSH، قم بتخصيص خوارزميات التشفير التي سيتم إستخدامها، باستخدام الأمر التالي:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
بعد القيام بذلك، قم بتشغيل الأمر show run all ssh، والآن في تكوين تشفير SSH، تستخدم جميع الخوارزميات وضع CTR فقط:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
وبالمثل، يمكن تعديل خوارزميات تكامل SSH باستخدام الأمر ssh cipher integrity.