在 ASA 上禁用 SSH 服务器 CBC 模式密码

下载选项

  • PDF     (323.3 KB)
    在各种设备上使用 Adobe Reader 查看
已更新: 2024 年 7 月 22 日
文档 ID:213283

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档说明了如何在 ASA 上禁用 SSH 服务器 CBC 模式密码器。

    先决条件

    要求

    Cisco 建议您了解以下主题:

    • 自适应安全设备(ASA)平台架构
    • 密码块链接 (CBC)

    使用的组件

    本文档的信息基于 Cisco ASA 5506 (操作系统版本为 9.6.1)。

    本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。

    背景信息

    关于扫描漏洞 CVE-2008-5161 的记录说明,在密码块链接 (CBC) 模式下使用分组密码算法,使得远程攻击者更容易通过未知攻击途径从 SSH 会话中的任意区块密码文本恢复某些纯文本数据。

    Cipher Block Chaining是密码块的一种操作模式。该算法使用分组密码来提供保密性或真实性等信息服务。

    问题

    默认情况下,ASA上已启用ASA CBC模式,这可能是客户信息的漏洞。

    解决方案

    经过增强的Cisco Bug ID CSCum63371之后,版本9.1(7)中引入了修改ASA ssh密码的功能,但是正式发行的版本中包含ssh cipher encryptionssh cipher integrity命令。

    要在SSH上禁用CBC模式密码,请执行以下步骤:

    在ASA上运行sh run all ssh

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption medium
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    如果您看到ssh cipher encryption medium命令,则表示ASA使用中等强度和高强度密码,默认情况下在ASA上设置。

    要查看 ASA 中可用的 ssh 加密算法,运行命令 show ssh ciphers

    ASA(config)# show ssh ciphers
    Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
            all:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            low:     3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            medium:  3des-cbc     aes128-cbc   aes192-cbc   aes256-cbc   aes128-ctr   aes192-ctr   aes256-ctr
            fips:    aes128-cbc   aes256-cbc
            high:    aes256-cbc   aes256-ctr
    Integrity Algorithms:
            all:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            low:     hmac-sha1    hmac-sha1-96 hmac-md5     hmac-md5-96
            medium:  hmac-sha1    hmac-sha1-96
            fips:    hmac-sha1
            high:    hmac-sha1

    输出显示所有可用的加密算法:3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr。

    要禁用CBC模式以便其可用于ssh配置,请使用以下命令自定义要使用的加密算法:

    ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr

    完成此操作后,请运行show run all ssh命令。 现在,在ssh密码加密配置中,所有算法仅使用CTR模式:

    ASA(config)# show run all ssh
    ssh stricthostkeycheck
    ssh 0.0.0.0 0.0.0.0 outside
    ssh timeout 60
    ssh version 2
    ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
    ssh cipher integrity medium
    ssh key-exchange group dh-group1-sha1

    同样,可以使用 ssh cipher integrity 命令来修改 SSH 完整性算法。

    修订历史记录

    版本 发布日期 备注
    2.0
    22-Jul-2024
    更新了简介、背景信息、SEO和格式。
    1.0
    26-Apr-2018
    初始版本
    TAC Authored

    由思科工程师提供

    • 丹尼尔·贝尼特斯
      技术咨询工程师
    • 尼克卡莱
      Cisco TAC技术主管

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品