Introduction
Ce document décrit comment désactiver des chiffrements de mode CBC de serveur de SSH sur l'ASA. Sur la vulnérabilité CVE-2008-5161 de balayage on le documente que l'utilisation d'un algorithme de chiffre par bloc dans le bloc de chiffrement enchaînant le mode (CBC), le facilite pour que les attaquants distants récupèrent certaines données de texte brut d'un bloc arbitraire de texte de chiffrement en session de SSH par l'intermédiaire des vecteurs inconnus.
Le bloc de chiffrement enchaînant (CBC) est un mode de fonctionnement pour le bloc de chiffrement, cet algorithme emploie un chiffre par bloc pour fournir un service informationnel tel que la confidentialité ou l'authenticité.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Architecture de plate-forme de l'appliance de sécurité adaptable ASA
- Enchaînement de bloc de chiffrement (CBC)
Les informations dans ce document sont basées sur Cisco ASA 5506 avec du SYSTÈME D'EXPLOITATION 9.6.1.
Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est vivant, assurez-vous que vous comprenez l'impact potentiel de n'importe quelle commande.
Problème
Par défaut, sur le mode CBC ASA est activé sur l'ASA qui pourrait être une vulnérabilité pour les informations de clients.
Solution
Après l'amélioration CSCum63371, la capacité de modifier les chiffrements de ssh ASA a été introduite sur la version 9.1(7), mais la version qui a officiellement l'intégrité de chiffrement de chiffrement de ssh de commandes et de chiffrement de ssh est 9.6.1.
Afin de désactiver des chiffrements de mode CBC sur le SSH suivez cette procédure :
Exécutez « SH exécutent tout le ssh » sur l'ASA :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Si vous voyez le support de cryptage de chiffrement de ssh de commande ceci signifie que l'ASA utilise des chiffrements moyens et de haute résistance qui est installée par défaut sur l'ASA.
Afin de voir les algorithmes de chiffrement disponibles de ssh dans l'ASA, exécutez les chiffrements de show ssh de commande :
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
La sortie affiche tous les algorithmes de chiffrement disponibles : 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Afin de désactiver le mode ainsi lui CBC peut être utilisé sur la configuration de ssh, personnalisent les algorithmes de chiffrement à utiliser, avec la commande suivante :
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Après que ceci soit fait, exécutez l'exposition de commande exécutent tout le ssh, maintenant en configuration de chiffrement de chiffrement de ssh tout le mode CTR d'utilisation d'algorithmes seulement :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
De même, les algorithmes d'intégrité de SSH peuvent être modifiés avec l'intégrité de chiffrement de ssh de commande.