在 ASA 上禁用 SSH 服务器 CBC 模式密码

下载选项

  • PDF     (173.7 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (78.3 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (63.3 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2018 年 4 月 26 日
文档 ID:213283

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍如何在ASA上禁用SSH服务器CBC模式密码。在扫描漏洞CVE-2008-5161上,记录了在密码块链(CBC)模式下使用分组密码算法,使得远程攻击者能够更轻松地通过未知矢量从SSH会话中的任意密码文本块恢复某些明文数据。

    密码块链(CBC)是密码块的一种操作模式,该算法使用分组密码来提供诸如机密性或真实性之类的信息服务。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 自适应安全设备ASA平台架构
    • 密码块链(CBC)

    使用的组件

    本文档中的信息基于带OS 9.6.1的Cisco ASA 5506。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    问题

    默认情况下,在ASA CBC模式上,ASA上启用,这可能是客户信息的漏洞。

    解决方案

    在增强CSCum63371后,9.1(7)版引入了修改ASA ssh密码的功能,但正式具有ssh cipher encryptionssh cipher integrity命令的版本是9.6.1。

    要在SSH上禁用CBC模式密码,请遵循以下步骤:

    在ASA上运行“sh run all ssh”:

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption medium
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    如果您看到命令ssh cipher encryption medium,这表示ASA使用默认在ASA上设置的中高强度密码。

    要查看ASA中可用的ssh加密算法,请运行命令show ssh ciphers:

    ASA(config)# show ssh ciphers
    Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
            all:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            low:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            medium:  3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            fips:    aes128-cbc   aes256-cbc
            high:    aes256-cbc   aes256-ctr
    Integrity Algorithms:
            all:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            low:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            medium:  hmac-sha1    hmac-sha1-96
            fips:    hmac-sha1
            high:    hmac-sha1

    输出显示所有可用的加密算法:  3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr。

    要禁用CBC模式,以便在SSH配置中使用它,请使用以下命令自定义要使用的加密算法:

    ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr

    完成此操作后,运行命令show run all ssh,现在在ssh加密配置中,所有算法都只使用CTR模式:

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    同样,SSH完整性算法也可以使用命令ssh cipher integrity进行修改

    TAC Authored

    由思科工程师提供

    • Daniel Benitez
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品