Cómo corregir cifrados débiles y claves en la interfaz de administración para SSH el acceso

Los clientes ejecutan análisis de vulnerabilidad que se ejecutan en la interfaz de administración del firewall archivo . A veces estos informes vuelven como fallidos.
La falla notificada se debe principalmente a la debilidad de ciphers utilizados en el firewall .
El caso más común visto son los cifrados débiles de cifrado ssh en la interfaz de administración. A veces llamado Sweet 32 o CVE-2016 -2183 en la exploración de Qualys (imagen a continuación).
Los cifrados criptográficos afectados son cifrados de bloques con un tamaño de bloque de 64 bits (3DES, Blowfish). Estos se consideran débiles e inseguros de usar en un entorno seguro.

El artículo proporciona información sobre cómo deshabilitar estos cifrados débiles y utilizar los cifrados que no son vulnerables.





 

• Cualquier Palo Firewall Alto.
• Cualquier Panorama archivo .
• PAN-OS 8.0 y superior.

> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512

# commit

# exit
> set ssh service-restart mgmt

Configuración de Intercambio de claves de cifrado:
Si el analizador muestra valores de intercambio de claves ssh en desuso para el algoritmo de intercambio de claves como se muestra a continuación, ejecute los comandos que se enumeran a continuación. Tenga en cuenta que estos comandos se pueden ejecutar solamente en PAN-OS 9.0 y superior.

> configure
# delete deviceconfig system ssh kex mgmt
# set deviceconfig system ssh kex mgmt ecdh-sha2-nistp521
# commit

# exit
> set ssh service-restart mgmt

Esto debe completar todos los cambios necesarios para endurecer el plano de administración para las conexiones ssh.

Pruebas:

A la repetición del análisis mostrará que estas vulnerabilidades se han mitigado. 
Otra forma de probar es usar NMAP (Zenmap en Windows) y ejecutar el script; nmap --script ssh2-enum-algos -sV -p 22 <your_firewall_ip></your_firewall_ip>

Ejemplo:

user1@Linux:~$ nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q  //Replace x.y.z.q with firewall management IP

Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-18 15:35 PDT
Nmap scan report for 10.46.161.116
Host is up (0.0059s latency).
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 12.1 (protocol 2.0)
| ssh2-enum-algos:
|   kex_algorithms: (7)
|       ecdh-sha2-nistp256
|       ecdh-sha2-nistp384
|       ecdh-sha2-nistp521
|       diffie-hellman-group-exchange-sha256
|       diffie-hellman-group14-sha1
|       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group1-sha1
|   server_host_key_algorithms: (1)
|       ecdsa-sha2-nistp256
|   encryption_algorithms: (2)
|       aes256-cbc
|       aes256-gcm@openssh.com
|   mac_algorithms: (1)
|       hmac-sha2-512
|   compression_algorithms: (2)
|       none
|_      zlib@openssh.com
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds

 This scan should not reveal any no weak algorithms and should display the key exchange algorithm set to a secure algorithm.