Guida alla configurazione del router Cisco

2

Ho alcuni problemi di rete nella mia rete dovuti alla configurazione errata del router e degli switch Cisco. Per favore, dammi alcuni consigli o soluzioni per correggere queste vulnerabilità e problemi di configurazione.

  1. Nome vulnerabilità: cifratura della modalità CBC SSH abilitata
    Descrizione: i cifrari della modalità CBC sono abilitati sul server SSH
    Soluzione: disattiva i cifrari in modalità CBC e utilizza le crittografie in modalità CTR

  2. Nome vulnerabilità: SSH Algoritmi HMAC non sicuri abilitati
    Descrizione: Algoritmi HMAC non sicuri sono abilitati
    Soluzione: disabilitare qualsiasi algoritmo HMAC a 96 bit, disabilitare qualsiasi algoritmo HMAC basato su MD5.

posta Phong Nguyen 27.08.2013 - 08:07
fonte

3 risposte

2

MODIFICA PIÙ PRECISO FARE RIFERIMENTO ALLA RISPOSTA SOTTO

Non è possibile applicarlo su un router Cisco. L'unica cosa che puoi fare per rendere più dura la tua configurazione è di disabilitare almeno SSHv1 eseguendo:

#ip ssh version 2

Tuttavia questo non disabiliterà comunque gli algoritmi HBC / MD5 a 96 bit. Cisco non offre funzionalità per mettere a punto il tuo server SSH così profondamente. L'unica cosa che puoi fare è forzare la connessione verso il server che non usa nessuno degli algoritmi sopra citati. Nota che il client deve fare questo e che non può essere forzato al client dal server.

Qui puoi vedere quali opzioni sono disponibili per il client SSH su un router Cisco per avviare una connessione SSH:

ssh [-v {1 | 2} |-c {aes128-ctr |aes192-ctr|aes256-ctr |aes128-cbc | 3des-cbc | aes192-cbc | aes256-cbc} |-l user-id | -l user-id:vrf-name number ip-address ip-address | -l user-id:rotary number ip-address | -m {hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96} | -o numberofpasswordprompts n | -p port-num] {ip-addr | hostname} [command | -vrf] 
    
risposta data 27.08.2013 - 09:17
fonte
2

Una richiesta di funzionalità per aggiungere la funzionalità sembra essere stata risolta nelle recenti versioni di IOS, aggiungendo il funzionalità.

Nelle versioni IOS (molto) recenti (eventualmente limitate a determinati treni, la documentazione è estremamente scarsa), dovresti essere in grado di:

> enable
# configure terminal
(config)# ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
(config)# ip ssh server algorithm mac hmac-sha1

Potresti voler controllare con "?" se migliori opzioni sono diventate disponibili, specialmente dai MAC prima di usare il mio elenco così com'è ...

Non direttamente correlato, ma probabilmente lo vuoi anche nella configurazione:

(config)# ip ssh version 2
Anche

ip ssh server algorithm hostkey esiste e sembra essere equivalente all'opzione PubkeyAcceptedKeyTypes di OpenSSH.

Guida alla configurazione di SSH (I comandi non sono in elenco comandi master ancora, abbastanza interessante ...)

    
risposta data 14.01.2016 - 07:56
fonte
-1

Potrebbe essere necessario aggiornare il tuo IOS alla sua ultima versione e controllare il supporto IOS per le suite di cifratura forti.

    
risposta data 27.08.2013 - 10:27
fonte

Leggi altre domande sui tag