Introdução
Este documento descreve como desativar o modo CBC do servidor SSH Ciphers no ASA.
Pré-requisitos
Requisitos
A Cisco recomenda que você tenha conhecimento destes tópicos:
- Arquitetura da plataforma Adaptive Security Appliance (ASA)
- Encadeamento de blocos de cifras (CBC)
Componentes Utilizados
As informações neste documento são baseadas em um Cisco ASA 5506 com OS 9.6.1.
As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Informações de Apoio
Na vulnerabilidade de varredura CVE-2008-5161, está documentado que o uso de um algoritmo de cifra de bloco no modo de Encadeamento de Blocos de Cifra (CBC - Cipher Block Chaining) facilita para os invasores remotos a recuperação de certos dados de texto simples de um bloco arbitrário de texto cifrado em uma sessão SSH através de vetores desconhecidos.
Encadeamento de Blocos de Cifras é um modo de operação para blocos de cifras. Esse algoritmo usa uma cifra de bloco para fornecer um serviço informativo, como confidencialidade ou autenticidade.
Problema
Por padrão, o modo CBC do ASA está ativado no ASA, o que pode ser uma vulnerabilidade para as informações dos clientes.
Solução
Após o aprimoramento do bug da Cisco ID CSCum6371, a capacidade de modificar as cifras ssh do ASA foi introduzida na versão 9.1(7), mas a versão que oficialmente tem os comandos criptografia de cifra ssh e integridade de cifra ssh é 9.6.1.
Para desabilitar o modo CBC Ciphers no SSH, use este procedimento:
Execute sh run all ssh no ASA:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Se você vir o comando ssh cipher encryption medium, isso significa que o ASA usa cifras de médio e alto nível que são configuradas por padrão no ASA.
Para ver os algoritmos de criptografia ssh disponíveis no ASA, execute o comando show ssh ciphers:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
A saída mostra todos os algoritmos de criptografia disponíveis: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr.
Para desabilitar o modo CBC para que ele possa ser usado na configuração do ssh, personalize os algoritmos de criptografia a serem usados, com este comando:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
Depois que isso for feito, execute o comando show run all ssh. Agora, na configuração de criptografia de cifra ssh, todos os algoritmos usam apenas o modo CTR:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
Da mesma forma, os algoritmos de integridade SSH podem ser modificados com o comando ssh cipher integrity.
Feedback