如何修复访问管理接口上的弱密码和密钥 SSH
292359
Created On 10/18/19 13:11 PM - Last Modified 09/21/22 02:55 AM
Objective
客户在管理界面上运行漏洞扫描 firewall 。 有时这些报告会以失败告终。
报告的失败主要是由于在 firewall 。
最常见的情况是管理界面上的弱 ssh 加密密码。 有时被称为甜32或 CVE-2016 -2183在夸利扫描(下图)。
受影响的加密密码是块大小为 64 位(3DES,吹鱼)的块状密码。 这些被认为是弱和不安全的安全环境中使用。
本文提供了如何禁用这些弱密码和使用不易受攻击的密码的信息。
Environment
- 任何帕洛阿尔托 Firewall 。
- 任何 Panorama .
- PAN-OS 8.0及以上。
Procedure
使用以下命令 CLI 来解决问题。 在运行命令之前,请确保您使用的终端工具完全处于最新状态。过时的 Putty 或其他终端仿真器可能导致连接因使用弱密码而中断。
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512
# commit
# exit
> set ssh service-restart mgmt第一个命令清除设备配置 SSH ,其余命令 SSH 再次配置参数。 通过运行这些命令 Sweet 32,任何在管理平面上使用弱密码漏洞的攻击都得到缓解。 最后一个命令导致连接被重置。 重新登录到 CLI 再次。
密码密钥交换设置:
如果扫描仪显示下面所示的关键交换算法的弃用 ssh 关键交换值,则运行下面列出的命令。 请注意,这些命令只能在 PAN-OS 9.0 及以上运行。
> configure
# delete deviceconfig system ssh kex mgmt
# set deviceconfig system ssh kex mgmt ecdh-sha2-nistp521
# commit
# exit
> set ssh service-restart mgmt 这应该完成所有必要的更改,以硬硬管理平面的ssh连接。
测试:
A 重新运行扫描将显示这些漏洞已得到缓解。
另一种测试方法是使用 NMAP (Windows 上的 Zenmap)并运行脚本:nmap-脚本ssh2-埃努姆-阿尔戈斯-sV-p 22 <your_firewall_ip></your_firewall_ip>
例子:
user1@Linux:~$ nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q //Replace x.y.z.q with firewall management IP
Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-18 15:35 PDT
Nmap scan report for 10.46.161.116
Host is up (0.0059s latency).
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 12.1 (protocol 2.0)
| ssh2-enum-algos:
| kex_algorithms: (7)
| ecdh-sha2-nistp256
| ecdh-sha2-nistp384
| ecdh-sha2-nistp521
| diffie-hellman-group-exchange-sha256
| diffie-hellman-group14-sha1
| diffie-hellman-group-exchange-sha1
| diffie-hellman-group1-sha1
| server_host_key_algorithms: (1)
| ecdsa-sha2-nistp256
| encryption_algorithms: (2)
| aes256-cbc
| aes256-gcm@openssh.com
| mac_algorithms: (1)
| hmac-sha2-512
| compression_algorithms: (2)
| none
|_ zlib@openssh.com
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds
This scan should not reveal any no weak algorithms and should display the key exchange algorithm set to a secure algorithm.
Additional Information
禁用用于 Web 访问的弱密码 GUI 不起作用