Cómo corregir cifrados débiles y claves en la interfaz de administración para SSH el acceso
Objective
Los clientes ejecutan análisis de vulnerabilidad que se ejecutan en la interfaz de administración del firewall archivo . A veces estos informes vuelven como fallidos.
La falla notificada se debe principalmente a la debilidad de ciphers utilizados en el firewall .
El caso más común visto son los cifrados débiles de cifrado ssh en la interfaz de administración. A veces llamado Sweet 32 o CVE-2016 -2183 en la exploración de Qualys (imagen a continuación).
Los cifrados criptográficos afectados son cifrados de bloques con un tamaño de bloque de 64 bits (3DES, Blowfish). Estos se consideran débiles e inseguros de usar en un entorno seguro.
El artículo proporciona información sobre cómo deshabilitar estos cifrados débiles y utilizar los cifrados que no son vulnerables.
Environment
- Cualquier Palo Firewall Alto.
- Cualquier Panorama archivo .
- PAN-OS 8.0 y superior.
Procedure
Utilice los siguientes comandos CLI para solucionar el problema. Antes de ejecutar los comandos, asegúrese de que la herramienta de terminal que está utilizando esté completamente actualizada.La masilla desactualizada u otros emuladores de terminal puede provocar un error en las conexiones debido al uso de cifrados débiles.
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
# commit
# exit
> set ssh service-restart mgmt
El primer comando borra la configuración del dispositivo SSH y el resto de los comandos configuran los parámetros de SSH nuevo. Al ejecutar estos comandos Sweet 32 y cualquier ataque que utilice vulnerabilidades de cifrado débiles en el plano de administración se mitigan. El último comando hace que se restablezca la conexión. Vuelva a iniciar sesión en la CLI otra vez.
Configuración de Intercambio de claves de cifrado:
Si el analizador muestra valores de intercambio de claves ssh en desuso para el algoritmo de intercambio de claves como se muestra a continuación, ejecute los comandos que se enumeran a continuación. Tenga en cuenta que estos comandos se pueden ejecutar solamente en PAN-OS 9.0 y superior.
> configure
# delete deviceconfig system ssh kex mgmt
# set deviceconfig system ssh kex mgmt ecdh-sha2-nistp521
# commit
# exit
> set ssh service-restart mgmt
Esto debe completar todos los cambios necesarios para endurecer el plano de administración para las conexiones ssh.
Pruebas:
A la repetición del análisis mostrará que estas vulnerabilidades se han mitigado.
Otra forma de probar es usar NMAP (Zenmap en Windows) y ejecutar el script; nmap --script ssh2-enum-algos -sV -p 22 <your_firewall_ip></your_firewall_ip>
Ejemplo:
user1@Linux:~$ nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP
Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-18 15:35 PDT
Nmap scan report for 10.46.161.116
Host is up (0.0059s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 12.1 (protocol 2.0)
| ssh2-enum-algos:
| kex_algorithms: (7)
| ecdh-sha2-nistp256
| ecdh-sha2-nistp384
| ecdh-sha2-nistp521
| diffie-hellman-group-exchange-sha256
| diffie-hellman-group14-sha1
| diffie-hellman-group-exchange-sha1
| diffie-hellman-group1-sha1
| server_host_key_algorithms: (1)
| ecdsa-sha2-nistp256
| encryption_algorithms: (2)
| aes256-cbc
| aes256-gcm@openssh.com
| mac_algorithms: (1)
| hmac-sha2-512
| compression_algorithms: (2)
| none
|_ zlib@openssh.com
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds
This scan should not reveal any no weak algorithms and should display the key exchange algorithm set to a secure algorithm.
Additional Information
Deshabilitar cifrados débiles para el acceso web GUI no funciona