المقدمة
يصف هذا وثيقة كيف أن يعجز SSH نادل cbc أسلوب تشفير على ASA.
المتطلبات الأساسية
المتطلبات
توصي Cisco بأن تكون لديك معرفة بالمواضيع التالية:
- بنية النظام الأساسي لأجهزة الأمان المعدلة (ASA)
- ربط كتل التشفير (CBC)
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى Cisco ASA 5506 مع OS 9.6.1.
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك قيد التشغيل، فتأكد من فهمك للتأثير المحتمل لأي أمر.
معلومات أساسية
يوثق CVE-2008-5161 عند إستخدام قابلية المسح الضوئي للمس أن إستخدام خوارزمية كتل التشفير في وضع توصيل كتل التشفير (CBC)، يسهل على المهاجمين البعيدين إسترداد بيانات نص عادي معينة من كتلة تعسفية من نص التشفير في جلسة SSH عبر متجهات غير معروفة.
سلسلة كتل التشفير هي وضع عملية لكتلة التشفير. تستخدم هذه الخوارزمية تشفير الكتلة لتوفير خدمة معلومات مثل السرية أو المصادقة.
المشكلة
بشكل افتراضي، يتم تمكين وضع ASA CBC على ASA الذي يمكن أن يكون نقطة ضعف لمعلومات العملاء.
الحل
بعد تحسين معرف تصحيح الأخطاء من Cisco CSCum63371، تم إدخال القدرة على تعديل شفرة ASA SSH في الإصدار 9.1(7)، ولكن الإصدار الذي يحتوي رسميا على الأوامر تشفير ssh وتكامل تشفير SSH هو 9.6.1.
من أجل تعطيل تشفير وضع CBC على SSH، أستخدم هذا الإجراء:
تشغيل sh تشغيل كل ssh على ASA:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
إذا كنت ترى وسط تشفير تشفير ssh، فهذا يعني أن ASA يستخدم شفرات متوسطة وعالية القوة يتم إعدادها بشكل افتراضي على ASA.
لعرض خوارزميات تشفير SSH المتاحة في ASA، قم بتشغيل الأمر show ssh ciphers:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
يوضح الإخراج جميع خوارزميات التشفير المتوفرة: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
لتعطيل وضع CBC حتى يمكن إستخدامه على تكوين SSH، قم بتخصيص خوارزميات التشفير التي سيتم إستخدامها، باستخدام هذا الأمر:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
بعد القيام بذلك، قم بتشغيل الأمر show لتشغيل جميع ssh. الآن، في تكوين تشفير SSH، تستخدم جميع الخوارزميات وضع CTR فقط:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
وبالمثل، يمكن تعديل خوارزميات تكامل SSH باستخدام الأمر ssh cipher integrity.
التعليقات