Nmap toont aan dat CCM vatbaar is voor SWEET32-aanval

Downloadopties

  • PDF     (283.3 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (255.6 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (147.0 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:25 september 2017
Document-id:212151

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft een probleem waar Nmap aangeeft dat Cisco Call Manager (CCM) vatbaar is voor SWET32-aanvallen.

        

    Probleem

    Wanneer u Nmap 4.70+ gebruikt, ziet u waarschuwingsberichten over Triple Data Encryption Standard (3DES) en IDEA die aantonen dat dit kwetsbaar is voor SWEET32.

    nmap -sV --script ssl-enum-ciphers -p 443 <ip_of_ccm>

    Week 64-bits encrypties zijn vatbaar bevonden voor een aanval die bekend staat als Sweet32. Nieuwe versies van Nmap zullen een controle omvatten om te zien of er cifen zijn ingeschakeld die gevoelig zijn. Daarom wordt in het uitvoeren van de Nmap-scan op het CCM deze waarschuwing weergegeven:

    64-bit block cipher 3DES vulnerable to SWEET32 attack

    64-bit block cipher IDEA vulnerable to SWEET32 attack

    Oplossing

    Dit probleem is niet direct gerelateerd aan CloudCenter, maar de Tomcat-server die cloudcenter gebruikt. Er zij op gewezen dat de Nmap-scan niet aangeeft dat de virtuele machine (VM) kwetsbaar is voor de aanval, maar alleen aangeeft dat hij een kwetsbaar algoritme gebruikt. Er zijn andere variabelen die vereist zijn om deze aanval te laten slagen waarvoor Nmap niet test.

    een kernticket; In dit verband is CORE-15086 opgericht. De oplossing is nog steeds in proces en de versie van OpenSSL 1.1.0+ wordt bijgewerkt, waardoor de fout wordt gedempt.

    Engineering heeft verklaard dat de foutmelding veilig kan worden genegeerd, maar dat er indien nodig een tijdelijke oplossing is.

    Secure Shell (SSH) in het CCM.

    Open /usr/local/tomcat/conf/server.xml.

    Scrolt neer tot u het gedeelte vindt dat begint met <Connector poort="10443".

    212151-Nmap-Shows-that-CCM-is-Susceptible-to-SW-00.png

    De lijn die met SSLCipherSuite begint maakt een lijst van de ciphers die zijn toegestaan en niet toegestaan.

    Aan het eind van elk van deze regels voegt u toe: !3DES:!IDEA  

    Nadat je Tomcat start, zullen 3DES en IDEA niet meer gebruikt worden, dus de Nmap? scan zal geen waarschuwingen meer melden .

    Opmerking: Deze workround is niet getest op compatibiliteit en sommige gebruikers kunnen niet langer verbinding maken met de CCM User Interface (UI). Gebruikers met Windows XP en gebruikers die IE v8 gebruiken kunnen mogelijk geen verbinding meer maken. Het is echter niet getest.

    TAC Authored

    Bijgedragen door Cisco-engineers

    • Jesse Lafuenti
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten