Introduction
Ce document décrit comment désactiver le serveur SSH CBC mode Chiffres sur ASA.
Conditions préalables
Exigences
Cisco vous recommande de prendre connaissance des rubriques suivantes :
- Architecture de plate-forme ASA (Adaptive Security Appliance)
- Chaînage de blocs de chiffrement (CBC)
Composants utilisés
Les informations de ce document sont basées sur un Cisco ASA 5506 avec OS 9.6.1.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si votre réseau est en ligne, assurez-vous de bien comprendre l’incidence possible des commandes.
Informations générales
Sur la vulnérabilité d'analyse CVE-2008-5161, il est documenté que l'utilisation d'un algorithme de chiffrement par bloc en mode Chaînage de blocs de chiffrement (CBC), rend plus facile pour les attaquants distants de récupérer certaines données en texte clair à partir d'un bloc arbitraire de texte chiffré dans une session SSH via des vecteurs inconnus.
Chiffrer le chaînage de blocs est un mode de fonctionnement pour le bloc de chiffrement. Cet algorithme utilise un chiffrement par bloc pour fournir un service d'information tel que la confidentialité ou l'authenticité.
Problème
Par défaut, le mode CBC ASA est activé sur l'ASA, ce qui peut constituer une vulnérabilité pour les informations du client.
Solution
Après l'amélioration de l'ID de bogue Cisco CSCum6371, la possibilité de modifier les chiffrements ssh ASA a été introduite sur la version 9.1(7), mais la version qui a officiellement les commandes ssh cipher encryption et ssh cipher integration est 9.6.1.
Afin de désactiver le mode CBC Ciphers sur SSH, utilisez cette procédure :
Exécutez sh exécutez all ssh sur l'ASA :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Si vous voyez la commande ssh cipher encryption medium, cela signifie que l'ASA utilise des chiffrements de moyenne et haute puissance qui est configuré par défaut sur l'ASA.
Afin de voir les algorithmes de chiffrement ssh disponibles dans l'ASA, exécutez la commande show ssh ciphers :
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
Le résultat affiche tous les algorithmes de cryptage disponibles : 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Afin de désactiver le mode CBC afin qu'il puisse être utilisé sur la configuration ssh, personnalisez les algorithmes de chiffrement à utiliser, avec cette commande :
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Une fois cette opération effectuée, exécutez la commande show run all ssh. Maintenant, dans la configuration du chiffrement ssh, tous les algorithmes utilisent uniquement le mode CTR :
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
De même, les algorithmes d'intégrité SSH peuvent être modifiés avec la commande ssh cipher integration.
Commentaires