CBC-moduscoderingen voor SSH-server uitschakelen op ASA

Downloadopties

  • PDF     (248.8 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (81.8 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (67.3 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:26 april 2018
Document-id:213283

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft hoe u SSH server CBC mode-algoritmen op ASA moet uitschakelen. Op scan kwetsbaarheid CVE-2008-5161 is gedocumenteerd dat het gebruik van een algoritme van het blokalgoritme in het Koppelen van het Blok van het Kruis (CBC) wijze, het voor verre aanvallers gemakkelijker maakt om bepaalde duidelijke tekstgegevens van een willekeurig blok van cijfertekst in een SSH zitting via onbekende vectoren terug te krijgen.

    Cycpher Block Chaining (CBC) is een werkwijze voor algoritme, dit algoritme gebruikt een blokalgoritme om een informatiedienst zoals vertrouwelijkheid of authenticiteit te verstrekken.

    Voorwaarden

    Vereisten

    Cisco raadt kennis van de volgende onderwerpen aan:

    • Adaptieve security applicatie ASA platform architectuur
    • Cycpher Block Chaining (CBC)

    Gebruikte componenten

    De informatie in dit document is gebaseerd op een Cisco ASA 5506 met OS 9.6.1.

    De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.

    Probleem

    Standaard is de ASA CBC-modus ingeschakeld op de ASA, wat een kwetsbaarheid zou kunnen zijn voor de klantinformatie.

    Oplossing

    Na de uitbreiding CSCum63371, werd de mogelijkheid om de ASA ssh-algoritmen aan te passen geïntroduceerd op versie 9.1(7), maar de release die officieel de commando's ssh-algoritme-encryptie en ssh-algoritme-integriteit heeft is 9.6.1.

    Om CBC-modemcoderingen op SSH uit te schakelen, volgt u deze procedure:

    Voer "sh run all ssh" uit op de ASA:

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption medium
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    Als u het coderingsmedium voor het opdrachtalgoritme ziet, betekent dit dat de ASA algoritmen met een gemiddelde of hoge sterkte gebruikt, die standaard op de ASA zijn ingesteld.

    Om de beschikbare ssh-encryptie-algoritmen in de ASA te kunnen zien, voert u de opdracht show ssh-algoritmen uit:

    ASA(config)# show ssh ciphers
    Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
            all:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            low:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            medium:  3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            fips:    aes128-cbc   aes256-cbc
            high:    aes256-cbc   aes256-ctr
    Integrity Algorithms:
            all:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            low:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            medium:  hmac-sha1    hmac-sha1-96
            fips:    hmac-sha1
            high:    hmac-sha1

    De output toont alle beschikbare encryptie algoritmen: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.

    Om de CBC-modus uit te schakelen zodat deze op de SSH-configuratie kan worden gebruikt, kunt u de te gebruiken coderingsalgoritmen aanpassen met de volgende opdracht:

    ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr

    Nadat dit gedaan is, voer de opdracht show run alle ssh, nu in de versleutelingsconfiguratie van het ssh algoritme alle algoritmen gebruiken alleen CTR modus:

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    Op dezelfde manier kunnen de SSH-integriteitsalgoritmen worden aangepast met de integriteit van het SSH-algoritme.

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    26-Apr-2018
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Daniel Benitez
      Cisco TAC Engineer
    • Nik Kale
      Cisco TAC Technical Leader

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten