Introducción
Este documento describe cómo inhabilitar las cifras del modo CBC del servidor SSH en el ASA. En la vulnerabilidad CVE-2008-5161 de la exploración se documenta que el uso de un algoritmo del cifrado en bloque en el modo del Cipher Block Chaining (CBC), hace más fácil para que los atacantes remotos recuperen ciertos datos del sólo texto de un bloque del texto cifrado arbitrario en una sesión SSH vía los vectores desconocidos.
El Cipher Block Chaining (CBC) es un modo de operación para el bloque de la cifra, este algoritmo utiliza un cifrado en bloque para proporcionar un servicio informativo tal como confidencialidad o autenticidad.
Prerequisites
Requisitos
Cisco recomienda que tenga conocimiento sobre estos temas:
- Arquitectura adaptante de la plataforma del dispositivo de seguridad ASA
- Cipher Block Chaining (CBC)
Componentes Utilizados
La información en este documento se basa en Cisco ASA 5506 con OS 9.6.1.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si su red está viva, asegúrese de que usted entienda el impacto potencial del comando any.
Problema
Por abandono, en el ASA habilitan al modo CBC en el ASA que podría ser una vulnerabilidad para la información de clientes.
Solución
Después de la mejora CSCum63371, la capacidad de modificar las cifras del ssh ASA fue introducida en la versión 9.1(7), pero la versión que tiene oficialmente la integridad de la cifra del cifrado y del ssh de la cifra de los comandos ssh es 9.6.1.
Para inhabilitar las cifras del modo CBC en SSH siga este procedimiento:
Ejecute el “sh run todo el ssh” en el ASA:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Si usted ve el media del cifrado de la cifra del comando ssh éste significa que el ASA utiliza las cifras medias y de alta resistencia que se pone por abandono en el ASA.
Para ver los algoritmos de encripción disponibles del ssh en el ASA, ejecute las cifras del comando show ssh:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
La salida muestra todos los algoritmos de encripción disponibles: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Para inhabilitar el modo CBC así que lo se puede utilizar en la configuración del ssh, personaliza los algoritmos de encripción que se utilizarán, con el siguiente comando:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Después de que se haga esto, funcione con el comando show run todo el ssh, ahora en la configuración de encripción de la cifra del ssh todo el modo del uso de los algoritmos solamente CTR:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Asimismo, los algoritmos de la integridad de SSH se pueden modificar con la integridad de la cifra del comando ssh.