如何修复访问管理接口上的弱密码和密钥 SSH

如何修复访问管理接口上的弱密码和密钥 SSH

245404
Created On 10/18/19 13:11 PM - Last Modified 09/21/22 02:55 AM


Objective


客户在管理界面上运行漏洞扫描 firewall 。 有时这些报告会以失败告终。
报告的失败主要是由于在 firewall 。
最常见的情况是管理界面上的弱 ssh 加密密码。 有时被称为甜32或 CVE-2016 -2183在夸利扫描(下图)。
受影响的加密密码是块大小为 64 位(3DES,吹鱼)的块状密码。 这些被认为是弱和不安全的安全环境中使用。

本文提供了如何禁用这些弱密码和使用不易受攻击的密码的信息。


用户添加的图像


 

 

Environment


  • 任何帕洛阿尔托 Firewall 。
  • 任何 Panorama .
  • PAN-OS 8.0及以上。

 

Procedure


使用以下命令 CLI 来解决问题。 在运行命令之前,请确保您使用的终端工具完全处于最新状态。过时的 Putty 或其他终端仿真器可能导致连接因使用弱密码而中断。
> configure
# delete deviceconfig system ssh
# set deviceconfig system ssh ciphers mgmt aes256-ctr
# set deviceconfig system ssh ciphers mgmt aes256-gcm
# set deviceconfig system ssh default-hostkey mgmt key-type ECDSA 256
# set deviceconfig system ssh regenerate-hostkeys mgmt key-type ECDSA key-length 256
# set deviceconfig system ssh session-rekey mgmt interval 3600
# set deviceconfig system ssh mac mgmt hmac-sha2-256
# set deviceconfig system ssh mac mgmt hmac-sha2-512

# commit

# exit
> set ssh service-restart mgmt

第一个命令清除设备配置 SSH ,其余命令 SSH 再次配置参数。 通过运行这些命令 Sweet 32,任何在管理平面上使用弱密码漏洞的攻击都得到缓解。 最后一个命令导致连接被重置。 重新登录到 CLI 再次。



密码密钥交换设置:
如果扫描仪显示下面所示的关键交换算法的弃用 ssh 关键交换值,则运行下面列出的命令。 请注意,这些命令只能在 PAN-OS 9.0 及以上运行。

用户添加的图像
用户添加的图像

 

> configure
# delete deviceconfig system ssh kex mgmt
# set deviceconfig system ssh kex mgmt ecdh-sha2-nistp521
# commit

# exit
> set ssh service-restart mgmt
 

这应该完成所有必要的更改,以硬硬管理平面的ssh连接。

测试:

A 重新运行扫描将显示这些漏洞已得到缓解。 
另一种测试方法是使用 NMAP (Windows 上的 Zenmap)并运行脚本:nmap-脚本ssh2-埃努姆-阿尔戈斯-sV-p 22 <your_firewall_ip></your_firewall_ip>

例子:

user1@Linux:~$ nmap --script ssh2-enum-algos -sV -p 22 x.y.z.q  //Replace x.y.z.q with firewall management IP

Starting Nmap 7.70 ( https://nmap.org ) at 2020-03-18 15:35 PDT
Nmap scan report for 10.46.161.116
Host is up (0.0059s latency).
PORT   STATE SERVICE VERSION
22/tcp open  ssh     OpenSSH 12.1 (protocol 2.0)
| ssh2-enum-algos:
|   kex_algorithms: (7)
|       ecdh-sha2-nistp256
|       ecdh-sha2-nistp384
|       ecdh-sha2-nistp521
|       diffie-hellman-group-exchange-sha256
|       diffie-hellman-group14-sha1
|       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group1-sha1
|   server_host_key_algorithms: (1)
|       ecdsa-sha2-nistp256
|   encryption_algorithms: (2)
|       aes256-cbc
|       aes256-gcm@openssh.com
|   mac_algorithms: (1)
|       hmac-sha2-512
|   compression_algorithms: (2)
|       none
|_      zlib@openssh.com
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.97 seconds
 This scan should not reveal any no weak algorithms and should display the key exchange algorithm set to a secure algorithm.


Additional Information


禁用用于 Web 访问的弱密码 GUI 不起作用
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000PN5bCAG&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language