Introduction
Ce document décrit comment désactiver les chiffrement en mode CBC du serveur SSH sur ASA. Sur la vulnérabilité de balayage CVE-2008-5161, il est documenté que l'utilisation d'un algorithme de chiffrement de bloc en mode chaînage de bloc (CBC) facilite la récupération de certaines données de texte brut à partir d'un bloc arbitraire de texte de chiffrement dans une session SSH par des vecteurs inconnus.
Le chaînage par blocs de chiffrement (CBC) est un mode de fonctionnement du bloc de chiffrement. Cet algorithme utilise un chiffrement par blocs pour fournir un service d'information tel que la confidentialité ou l'authenticité.
Conditions préalables
Conditions requises
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Architecture de plate-forme ASA Adaptive Security Appliance
- Chaînage de bloc de chiffrement (CBC)
Components Used
Les informations de ce document sont basées sur un Cisco ASA 5506 avec OS 9.6.1.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Problème
Par défaut, en mode ASA CBC est activé sur l'ASA, ce qui pourrait constituer une vulnérabilité pour les informations des clients.
Solution
Après l'amélioration CSCum63371, la possibilité de modifier les chiffrement ssh ASA a été introduite sur la version 9.1(7), mais la version qui a officiellement les commandes ssh cipher encryption et ssh cipher integrher est 9.6.1.
Afin de désactiver le mode CBC Ciphers sur SSH, procédez comme suit :
Exécutez « sh run all ssh » sur l'ASA :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Si vous voyez la commande ssh cipher encryption medium, cela signifie que l'ASA utilise des algorithmes de chiffrement de puissance moyenne et élevée qui sont configurés par défaut sur l'ASA.
Afin de voir les algorithmes de chiffrement ssh disponibles dans l'ASA, exécutez la commande show ssh ciphers :
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
Le résultat montre tous les algorithmes de chiffrement disponibles : 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Afin de désactiver le mode CBC pour qu'il puisse être utilisé sur la configuration ssh, personnalisez les algorithmes de chiffrement à utiliser, avec la commande suivante :
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Après cela, exécutez la commande show run all ssh, maintenant dans la configuration de chiffrement ssh, tous les algorithmes utilisent uniquement le mode CTR :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
De même, les algorithmes d'intégrité SSH peuvent être modifiés avec la commande ssh cipher integrity.