Inleiding
Dit document beschrijft hoe u SSH server CBC mode-algoritmen op ASA moet uitschakelen. Op scan kwetsbaarheid CVE-2008-5161 is gedocumenteerd dat het gebruik van een algoritme van het blokalgoritme in het Koppelen van het Blok van het Kruis (CBC) wijze, het voor verre aanvallers gemakkelijker maakt om bepaalde duidelijke tekstgegevens van een willekeurig blok van cijfertekst in een SSH zitting via onbekende vectoren terug te krijgen.
Cycpher Block Chaining (CBC) is een werkwijze voor algoritme, dit algoritme gebruikt een blokalgoritme om een informatiedienst zoals vertrouwelijkheid of authenticiteit te verstrekken.
Voorwaarden
Vereisten
Cisco raadt kennis van de volgende onderwerpen aan:
- Adaptieve security applicatie ASA platform architectuur
- Cycpher Block Chaining (CBC)
Gebruikte componenten
De informatie in dit document is gebaseerd op een Cisco ASA 5506 met OS 9.6.1.
De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u zorgen dat u de potentiële impact van elke opdracht begrijpt.
Probleem
Standaard is de ASA CBC-modus ingeschakeld op de ASA, wat een kwetsbaarheid zou kunnen zijn voor de klantinformatie.
Oplossing
Na de uitbreiding CSCum63371, werd de mogelijkheid om de ASA ssh-algoritmen aan te passen geïntroduceerd op versie 9.1(7), maar de release die officieel de commando's ssh-algoritme-encryptie en ssh-algoritme-integriteit heeft is 9.6.1.
Om CBC-modemcoderingen op SSH uit te schakelen, volgt u deze procedure:
Voer "sh run all ssh" uit op de ASA:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Als u het coderingsmedium voor het opdrachtalgoritme ziet, betekent dit dat de ASA algoritmen met een gemiddelde of hoge sterkte gebruikt, die standaard op de ASA zijn ingesteld.
Om de beschikbare ssh-encryptie-algoritmen in de ASA te kunnen zien, voert u de opdracht show ssh-algoritmen uit:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
De output toont alle beschikbare encryptie algoritmen: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Om de CBC-modus uit te schakelen zodat deze op de SSH-configuratie kan worden gebruikt, kunt u de te gebruiken coderingsalgoritmen aanpassen met de volgende opdracht:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Nadat dit gedaan is, voer de opdracht show run alle ssh, nu in de versleutelingsconfiguratie van het ssh algoritme alle algoritmen gebruiken alleen CTR modus:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Op dezelfde manier kunnen de SSH-integriteitsalgoritmen worden aangepast met de integriteit van het SSH-algoritme.