Einleitung
In diesem Dokument wird beschrieben, wie die CBC-Modus-Verschlüsselung des SSH-Servers auf der ASA deaktiviert wird.
Voraussetzungen
Anforderungen
Cisco empfiehlt, dass Sie über Kenntnisse in folgenden Bereichen verfügen:
- Adaptive Security Appliance (ASA)-Plattformarchitektur
- Cipher Block Chaining (CBC)
Verwendete Komponenten
Die Informationen in diesem Dokument basieren auf der Cisco ASA 5506 mit dem Betriebssystem 9.6.1.
Die Informationen in diesem Dokument beziehen sich auf Geräte in einer speziell eingerichteten Testumgebung. Alle Geräte, die in diesem Dokument benutzt wurden, begannen mit einer gelöschten (Nichterfüllungs) Konfiguration. Wenn Ihr Netzwerk in Betrieb ist, stellen Sie sicher, dass Sie die möglichen Auswirkungen aller Befehle kennen.
Hintergrundinformationen
Bei der Scan-Verwundbarkeit CVE-2008-5161 wird dokumentiert, dass die Verwendung eines Blockchiffrieralgorithmus im Cipher Block Chaining (CBC)-Modus es entfernten Angreifern erleichtert, bestimmte Klartextdaten aus einem beliebigen Block von Verschlüsselungstext in einer SSH-Sitzung über unbekannte Vektoren wiederherzustellen.
Cipher Block Chaining ist eine Betriebsart für Cipher Block. Dieser Algorithmus verwendet eine Blockchiffre, um einen Informationsdienst wie Vertraulichkeit oder Authentizität bereitzustellen.
Problem
Standardmäßig ist der ASA-CBC-Modus auf der ASA aktiviert. Dies kann eine Schwachstelle für Kundeninformationen darstellen.
Lösung
Nach der Erweiterung Cisco Bug-ID CSCum6371 wurde die Möglichkeit zur Änderung der ASA-SSH-Chiffren in Version 9.1(7) eingeführt, aber die Version, die offiziell die Befehle ssh-Verschlüsselung und SSH-Verschlüsselungsintegrität enthält, ist 9.6.1.
Gehen Sie folgendermaßen vor, um die CBC-Modus-Verschlüsselung auf SSH zu deaktivieren:
Führen Sie sh aus, und führen Sie ssh auf der ASA aus:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Wenn Sie den Befehl ssh cipher encryption medium (SSH-Verschlüsselungsmedium) sehen, bedeutet dies, dass die ASA Chiffren mittlerer und hoher Stärke verwendet, die standardmäßig auf der ASA eingerichtet sind.
Um die verfügbaren SSH-Verschlüsselungsalgorithmen in der ASA anzuzeigen, führen Sie den Befehl show ssh ciphers aus:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
Die Ausgabe zeigt alle verfügbaren Verschlüsselungsalgorithmen: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Um den CBC-Modus zu deaktivieren, damit er für die SSH-Konfiguration verwendet werden kann, müssen Sie die zu verwendenden Verschlüsselungsalgorithmen mit dem folgenden Befehl anpassen:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Führen Sie anschließend den Befehl show run all ssh aus. In der Konfiguration der SSH-Verschlüsselung verwenden alle Algorithmen nur den CTR-Modus:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Ebenso können die SSH-Integritätsalgorithmen mit dem Befehl ssh cipher integrität geändert werden.
Feedback