web-dev-qa-db-ja.com

Ciscoルーターの構成に役立つ

シスコのルータとスイッチの設定ミスにより、ネットワークにいくつかの問題があります。これらの脆弱性と構成の問題を修正するためのアドバイスや解決策を教えてください。

  1. 脆弱性名:SSH CBCモードの暗号化が有効
    説明:CBCモードの暗号はSSHサーバーで有効になっています
    解決策:CBCモード暗号を無効にし、CTRモード暗号を使用します

  2. 脆弱性名:SSH非セキュアHMACアルゴリズムが有効
    説明:安全でないHMACアルゴリズムが有効になっています
    解決策:96ビットHMACアルゴリズムを無効にし、MD5ベースのHMACアルゴリズムを無効にします。

2
Phong Nguyen

以下の回答を参照して、より正確に編集しない

これをCiscoルータで実施する方法はありません。セットアップを強化する唯一の方法は、少なくともSSHv1を無効にすることです。

#ip ssh version 2

ただし、これでもCBCおよび96ビットHMAC/MD5アルゴリズムは無効になりません。シスコは、SSHサーバをそれほど細かく調整する機能を提供していません。あなたができる唯一のことは、上記のアルゴリズムのどれも使用しないサーバーへの接続を強制することです。 clientはこれを行う必要があり、サーバーからクライアントに強制することはできないことに注意してください。

ここでは、CiscoルータのSSHクライアントがSSH接続を開始するために使用できるオプションを確認できます。

ssh [-v {1 | 2} |-c {aes128-ctr |aes192-ctr|aes256-ctr |aes128-cbc | 3des-cbc | aes192-cbc | aes256-cbc} |-l user-id | -l user-id:vrf-name number ip-address ip-address | -l user-id:rotary number ip-address | -m {hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96} | -o numberofpasswordprompts n | -p port-num] {ip-addr | hostname} [command | -vrf] 
2
Lucas Kauffman

機能を追加する 機能のリクエストは、最近のリリースで解決されたようです IOSリリース、機能を追加します。

(非常に)最近のIOSバージョン(特定のトレインに制限されている可能性があり、ドキュメントが非常に少ない)の場合)、次のことができるはずです。

> enable
# configure terminal
(config)# ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
(config)# ip ssh server algorithm mac hmac-sha1

「?」で確認することもできますより良いオプションが利用可能になった場合、特に私のリストをそのまま使用する前のMACから...

直接関連はありませんが、おそらくこれも構成に含める必要があります。

(config)# ip ssh version 2

ip ssh server algorithm hostkeyも存在し、OpenSSHのPubkeyAcceptedKeyTypesオプションと同等のようです。

SSH構成ガイド (コマンドは マスターコマンドリストにありません まだ、興味深いことに...)

2