Désactiver les chiffrements de mode CBC du serveur SSH sur l’ASA

Options de téléchargement

  • PDF     (115.2 KB)
    Consulter à l'aide d'Adobe Reader sur un grand nombre d'appareils
  • ePub     (83.4 KB)
    Consulter à l’aide de différentes applications sur iPhone, iPad, Android ou Windows Phone
  • Mobi (Kindle)     (69.2 KB)
    Consulter sur un appareil Kindle ou à l’aide d’une application Kindle sur plusieurs appareils
Mis à jour:26 avril 2018
ID du document:213283

Langage exempt de préjugés

Dans le cadre de la documentation associée à ce produit, nous nous efforçons d’utiliser un langage exempt de préjugés. Dans cet ensemble de documents, le langage exempt de discrimination renvoie à une langue qui exclut la discrimination en fonction de l’âge, des handicaps, du genre, de l’appartenance raciale de l’identité ethnique, de l’orientation sexuelle, de la situation socio-économique et de l’intersectionnalité. Des exceptions peuvent s’appliquer dans les documents si le langage est codé en dur dans les interfaces utilisateurs du produit logiciel, si le langage utilisé est basé sur la documentation RFP ou si le langage utilisé provient d’un produit tiers référencé. Découvrez comment Cisco utilise le langage inclusif.

À propos de cette traduction

Cisco a traduit ce document en traduction automatisée vérifiée par une personne dans le cadre d’un service mondial permettant à nos utilisateurs d’obtenir le contenu d’assistance dans leur propre langue. Il convient cependant de noter que même la meilleure traduction automatisée ne sera pas aussi précise que celle fournie par un traducteur professionnel.

    Introduction

    Ce document décrit comment désactiver les chiffrement en mode CBC du serveur SSH sur ASA. Sur la vulnérabilité de balayage CVE-2008-5161, il est documenté que l'utilisation d'un algorithme de chiffrement de bloc en mode chaînage de bloc (CBC) facilite la récupération de certaines données de texte brut à partir d'un bloc arbitraire de texte de chiffrement dans une session SSH par des vecteurs inconnus.

    Le chaînage par blocs de chiffrement (CBC) est un mode de fonctionnement du bloc de chiffrement. Cet algorithme utilise un chiffrement par blocs pour fournir un service d'information tel que la confidentialité ou l'authenticité.

    Conditions préalables

    Conditions requises

    Cisco vous recommande de prendre connaissance des rubriques suivantes :

    • Architecture de plate-forme ASA Adaptive Security Appliance
    • Chaînage de bloc de chiffrement (CBC)

    Components Used

    Les informations de ce document sont basées sur un Cisco ASA 5506 avec OS 9.6.1.

    The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.

    Problème

    Par défaut, en mode ASA CBC est activé sur l'ASA, ce qui pourrait constituer une vulnérabilité pour les informations des clients.

    Solution

    Après l'amélioration CSCum63371, la possibilité de modifier les chiffrement ssh ASA a été introduite sur la version 9.1(7), mais la version qui a officiellement les commandes ssh cipher encryption et ssh cipher integrher est 9.6.1.

    Afin de désactiver le mode CBC Ciphers sur SSH, procédez comme suit :

    Exécutez « sh run all ssh » sur l'ASA :

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption medium
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    Si vous voyez la commande ssh cipher encryption medium, cela signifie que l'ASA utilise des algorithmes de chiffrement de puissance moyenne et élevée qui sont configurés par défaut sur l'ASA.

    Afin de voir les algorithmes de chiffrement ssh disponibles dans l'ASA, exécutez la commande show ssh ciphers :

    ASA(config)# show ssh ciphers
    Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
            all:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            low:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            medium:  3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            fips:    aes128-cbc   aes256-cbc
            high:    aes256-cbc   aes256-ctr
    Integrity Algorithms:
            all:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            low:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            medium:  hmac-sha1    hmac-sha1-96
            fips:    hmac-sha1
            high:    hmac-sha1

    Le résultat montre tous les algorithmes de chiffrement disponibles : 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.

    Afin de désactiver le mode CBC pour qu'il puisse être utilisé sur la configuration ssh, personnalisez les algorithmes de chiffrement à utiliser, avec la commande suivante :

    ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr

    Après cela, exécutez la commande show run all ssh, maintenant dans la configuration de chiffrement ssh, tous les algorithmes utilisent uniquement le mode CTR :

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    De même, les algorithmes d'intégrité SSH peuvent être modifiés avec la commande ssh cipher integrity.

    TAC Authored

    Contribution d’experts de Cisco

    • Daniel Benitez
      Cisco TAC Engineer

    Ce document vous est-il utile?

    FeedbackCommentaires

    Contacter Cisco

    Ce document s’applique à ces produits