简介
本文档说明了如何在 ASA 上禁用 SSH 服务器 CBC 模式密码器。
先决条件
要求
Cisco 建议您了解以下主题:
- 自适应安全设备(ASA)平台架构
- 密码块链接 (CBC)
使用的组件
本文档的信息基于 Cisco ASA 5506 (操作系统版本为 9.6.1)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您的网络处于活动状态,请确保您了解所有命令的潜在影响。
背景信息
关于扫描漏洞 CVE-2008-5161 的记录说明,在密码块链接 (CBC) 模式下使用分组密码算法,使得远程攻击者更容易通过未知攻击途径从 SSH 会话中的任意区块密码文本恢复某些纯文本数据。
Cipher Block Chaining是密码块的一种操作模式。该算法使用分组密码来提供保密性或真实性等信息服务。
问题
默认情况下,ASA上已启用ASA CBC模式,这可能是客户信息的漏洞。
解决方案
经过增强的Cisco Bug ID CSCum63371之后,版本9.1(7)中引入了修改ASA ssh密码的功能,但是正式发行的版本中包含ssh cipher encryption和ssh cipher integrity命令。
要在SSH上禁用CBC模式密码,请执行以下步骤:
在ASA上运行sh run all ssh:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption medium
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
如果您看到ssh cipher encryption medium命令,则表示ASA使用中等强度和高强度密码,默认情况下在ASA上设置。
要查看 ASA 中可用的 ssh 加密算法,运行命令 show ssh ciphers:
ASA(config)# show ssh ciphers
Available SSH Encryption and Integrity Algorithms Encryption Algorithms:
all: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
low: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
medium: 3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
fips: aes128-cbc aes256-cbc
high: aes256-cbc aes256-ctr
Integrity Algorithms:
all: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
low: hmac-sha1 hmac-sha1-96 hmac-md5 hmac-md5-96
medium: hmac-sha1 hmac-sha1-96
fips: hmac-sha1
high: hmac-sha1
输出显示所有可用的加密算法:3des-cbc aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr。
要禁用CBC模式以便其可用于ssh配置,请使用以下命令自定义要使用的加密算法:
ssh cipher encryption custom aes128-ctr:aes192-ctr:aes256-ctr
完成此操作后,请运行show run all ssh命令。 现在,在ssh密码加密配置中,所有算法仅使用CTR模式:
ASA(config)# show run all ssh
ssh stricthostkeycheck
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
ssh version 2
ssh cipher encryption custom "aes128-ctr:aes192-ctr:aes256-ctr"
ssh cipher integrity medium
ssh key-exchange group dh-group1-sha1
同样,可以使用 ssh cipher integrity 命令来修改 SSH 完整性算法。