Beheben von schwachen Ciphern und Schlüsseln auf der Verwaltungsschnittstelle für SSH den Zugriff

Kunden führen Vulnerability-Scans auf der Verwaltungsschnittstelle der firewall aus. Manchmal kommen diese Berichte als gescheitert zurück.
Der gemeldete Fehler ist hauptsächlich auf die schwachen Cipher zurückzuführen, die auf der verwendet firewall werden.
Der häufigste Fall ist schwache ssh-Verschlüsselungsverschlüsselung auf der Verwaltungsoberfläche. Manchmal genannt Sweet 32 oder CVE-2016 -2183 im Qualys Scan (Bild unten).
Die betroffenen kryptografischen Chiffren sind Blockchiffren mit einer Blockgröße von 64 Bit (3DES, Blowfish). Diese gelten als schwach und unsicher, um in einer sicheren Umgebung verwendet zu werden.

Der Artikel enthält Informationen darüber, wie Sie diese schwachen Chiffren deaktivieren und die Chiffren verwenden





können, die nicht anfällig sind. 

• Jede Palo Alto Firewall .
• Jede Panorama .
• PAN-OS 8.0 und höher.

> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512

# commit

# exit
> set ssh service-restart mgmt

Verschlüsselungsschlüssel-Exchange-Einstellung:
Wenn der Scanner veraltete ssh-Schlüsselaustauschwerte für den Schlüsselaustauschalgorithmus anzeigt, wie unten gezeigt, führen Sie die unten aufgeführten Befehle aus. Beachten Sie, dass diese Befehle nur unter 9.0 und höher ausgeführt werden PAN-OS können.

> configure
# delete deviceconfig system ssh kex mgmt
# set deviceconfig system ssh kex mgmt ecdh-sha2-nistp521
# commit

# exit
> set ssh service-restart mgmt

Dadurch sollten alle Änderungen abgeschlossen werden, die erforderlich sind, um die Verwaltungsebene für ssh-Verbindungen zu härten.

Testen:

A Eine erneute Ausführung des Scans zeigt, dass diese Sicherheitsanfälligkeiten gemildert wurden. 
Eine andere Möglichkeit zum Testen besteht in der Verwendung NMAP (Zenmap unter Windows) und ausführen des Skripts; nmap --script ssh2-enum-algos -sV <your_firewall_ip></your_firewall_ip> -p 22

Beispiel:

user1@Linux:~$ nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q  //Replace x.y.z.q with firewall management IP

Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-18 15:35 PDT
Nmap scan report for 10.46.161.116
Host is up (0.0059s latency).
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 12.1 (protocol 2.0)
| ssh2-enum-algos:
|   kex_algorithms: (7)
|       ecdh-sha2-nistp256
|       ecdh-sha2-nistp384
|       ecdh-sha2-nistp521
|       diffie-hellman-group-exchange-sha256
|       diffie-hellman-group14-sha1
|       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group1-sha1
|   server_host_key_algorithms: (1)
|       ecdsa-sha2-nistp256
|   encryption_algorithms: (2)
|       aes256-cbc
|       aes256-gcm@openssh.com
|   mac_algorithms: (1)
|       hmac-sha2-512
|   compression_algorithms: (2)
|       none
|_      zlib@openssh.com
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds

 This scan should not reveal any no weak algorithms and should display the key exchange algorithm set to a secure algorithm.