Protezione di un server SFTP

2

Mi è stato chiesto di proteggere un servizio SFTP e di eseguire una scansione utilizzando

nmap.exe --script ssh2-enum-algos <host> -p 22

restituisce quanto segue:

22/tcp open  ssh
| ssh2-enum-algos:
|   kex_algorithms: (3)
|       diffie-hellman-group14-sha1
|       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group-exchange-sha256
|   server_host_key_algorithms: (2)
|       ssh-dss
|       ssh-rsa
|   encryption_algorithms: (5)
|       aes128-ctr
|       3des-cbc
|       blowfish-cbc
|       arcfour128
|       arcfour
|   mac_algorithms: (7)
|       hmac-md5
|       hmac-sha1
|       hmac-md5-96
|       hmac-sha1-96
|       hmac-sha256
|       hmac-sha2-256
|       [email protected]
|   compression_algorithms: (2)
|       none
|_      zlib

Qualcuno sa per quale motivo non dovrei configurarlo come segue:

22/tcp open  ssh
| ssh2-enum-algos:
|   kex_algorithms: (1)
|       diffie-hellman-group-exchange-sha256
|   server_host_key_algorithms: (1)
|       ssh-rsa
|   encryption_algorithms: (5)
|       aes128-ctr
|   mac_algorithms: (7)
|       hmac-sha2-256
|       [email protected]
|   compression_algorithms: (2)
|       none
|_      zlib

Mi aspetto che qualcuno faccia notare che alcuni dei suddetti componenti potrebbero essere necessari per applicazioni legacy o client precedenti, ma non ho abbastanza esperienza per sapere quale:)

A proposito, la connessione SSH è gestita dal software SFTP (la decompilazione del codice java ha rivelato che stava usando Maverick ) e non si basa su OpenSSH.

    
posta Bruno 10.01.2017 - 18:14
fonte

1 risposta

2

Dipende dagli utenti che ti aspetti di connettere al tuo server. Se hai il controllo dei clienti (puoi verificare quali algoritmi supportano e / o aggiornarli), la tua lista proposta è molto ragionevole (quasi tutti quelli che hai escluso hanno qualche debolezza di sicurezza).

Se non hai il controllo dei client, puoi ancora registrare l'elenco di algoritmi supportato per un po 'di tempo e verificare che non taglierai la maggior parte dei client. In questi giorni non c'è motivo per cui un client aggiornato non dovrebbe supportare i tuoi algoritmi proposti, quindi pubblicare un messaggio "Per favore, aggiorna il tuo client" avrebbe senso.

La compatibilità con le versioni precedenti è importante soprattutto per i client, perché ci sono dispositivi antichi che eseguono server SSH che non è in grado di aggiornare il loro software. Ma questo non dovrebbe essere un problema per i client SSH.

    
risposta data 10.01.2017 - 20:36
fonte

Leggi altre domande sui tag