Einleitung
In diesem Dokument wird beschrieben, wie die CBC-Modus-Verschlüsselung des SSH-Servers auf der ASA deaktiviert wird. Bei der Scan-Verwundbarkeit CVE-2008-5161 wird dokumentiert, dass die Verwendung eines Blockchiffrieralgorithmus im Cipher Block Chaining (CBC)-Modus es entfernten Angreifern erleichtert, bestimmte Klartextdaten aus einem beliebigen Block von Verschlüsselungstext in einer SSH-Sitzung über unbekannte Vektoren wiederherzustellen.
Cipher Block Chaining (CBC) ist eine Betriebsart für Verschlüsselungsblöcke. Dieser Algorithmus verwendet eine Blockverschlüsselung, um einen Informationsdienst wie Vertraulichkeit oder Authentizität bereitzustellen.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Adaptive Security Appliance ASA-Plattformarchitektur
- Cipher Block Chaining (CBC)
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der Cisco ASA 5506 mit dem Betriebssystem 9.6.1.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Problem
Standardmäßig ist auf der ASA der CBC-Modus aktiviert. Dies kann eine Schwachstelle für Kundeninformationen darstellen.
Lösung
Nach der Erweiterung CSCum6371 wurde die Möglichkeit, die ASA-SSH-Chiffren zu ändern, in Version 9.1(7) eingeführt, aber die Version, die offiziell die Befehle ssh-Verschlüsselung und ssh-Verschlüsselungsintegrität hat, ist 9.6.1.
Um die CBC-Modus-Verschlüsselung auf SSH zu deaktivieren, gehen Sie folgendermaßen vor:
Führen Sie "sh run all ssh" auf der ASA aus:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Wenn Sie den Befehl ssh cipher encryption medium (SSH-Verschlüsselungsmedium) sehen, bedeutet dies, dass die ASA Chiffren mittlerer und hoher Stärke verwendet, die standardmäßig auf der ASA eingerichtet sind.
Um die verfügbaren SSH-Verschlüsselungsalgorithmen in der ASA anzuzeigen, führen Sie den Befehl show ssh ciphers aus:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
Die Ausgabe zeigt alle verfügbaren Verschlüsselungsalgorithmen: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Um den CBC-Modus zu deaktivieren, damit er für die SSH-Konfiguration verwendet werden kann, passen Sie die zu verwendenden Verschlüsselungsalgorithmen mit dem folgenden Befehl an:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Nachdem dies geschehen ist, führen Sie den Befehl show run all ssh aus. In der SSH-Verschlüsselungskonfiguration verwenden alle Algorithmen nur den CTR-Modus:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Ebenso können die SSH-Integritätsalgorithmen mit dem Befehl ssh cipher integrität geändert werden.