Abbiamo un sistema server Windows 2003 SP2. Dopo aver eseguito una scansione di sicurezza, abbiamo scoperto che stiamo ottenendo:
SSH Protocol Version 1 Supported Vulnerability
Threat: The consequences of vulnerabilities present in SSH Version 1 include:
- SSH protected traffic compromise
- root shell access to the system running SSH server
Quali passi da parte di Windows possiamo intraprendere per risolvere questo problema?
Perché stai utilizzando SSH?
Avere un server SSH in esecuzione su Windows 2003 di cui non si conosce è altamente sospetto ... non è un servizio incluso.
Il primo passo è quello di capire perché SSH è in esecuzione, e se anche dovrebbe esserlo! Un ottimo punto di partenza potrebbe essere vedere quale binario sta aprendo la porta con netstat -anb .
Potrebbe non essere per fornire un terminale. Alcuni server FTP di terze parti offrono SFTP che funziona su SSH.
SSH di indurimento
A condizione che tu stia eseguendo intenzionalmente un prodotto server SSH, il tuo obiettivo sarebbe di rafforzare la sua configurazione disabilitando SSH v1 e suite di crittografia non sicure (pensa MD5 / SHA1, ecc.). In definitiva, questo è specifico per ciò che si sta eseguendo e sarebbe quasi una seconda domanda su quel software server specifico.
Passaggi che dovresti prendere: -
Dovresti installare verion aggiornato fresco di openssh per windows
Vulnerabliy in SSHv1
Nel processo di autenticazione SSH-1, il server genera un numero casuale a 256 bit chiamato challenge. La sfida viene quindi crittografata con la chiave pubblica del client, in modo che solo il client possa decrittografarla. Il client riceve la sfida cifrata e la decrittografa. Il client restituisce la risposta alla sfida: un hash MD5 della concatenazione della sfida e l'ID della sessione. Il server calcola in modo indipendente la risposta alla richiesta prevista dalla stessa formula. Se la risposta challenge del client corrisponde a ciò che il server ha calcolato, il server risponde che il client è stato autenticato correttamente.
Sfortunatamente, è stato scoperto un punto debole nella formula per calcolare un ID di sessione dalla chiave pubblica del server. Questa scoperta consente la modifica della chiave dell'host pubblico di un server senza modificare l'ID della sessione derivata. Inoltre, la chiave modificata è spesso molto più debole dell'originale, quindi è facilmente scomposta per creare una chiave privata corrispondente. Questa nuova coppia di chiavi può essere utilizzata per negoziare più connessioni SSH simultanee con lo stesso ID di sessione.
La debolezza di cui sopra dà la possibilità di MIMT.
di più su attacco PROTOCOL DOWNGRADE è possibile anche se Server consente SSH v1, in cui un utente malintenzionato può forzare il client a connettersi a V1, downgrade delle funzionalità di sessione
V1 dà consente FORWARD SECRECY, aprendo la possibilità di attacco off-line
Leggi altre domande sui tag ssh