So deaktivieren DHE Sie den Schlüsselalgorithmus, um Waschbärangriffe zu entschärfen (CVE-2020-1968)

• Der Kunde, der eine der PAN-OS Versionen 8.1, 9.0 und PAN-OS 9.1 verwendet, muss in Betracht ziehen, den Schlüsselalgorithmus zu deaktivierenDHE, um den Waschbärangriff (CVE-2020-1968) zu entschärfen, PAN-OS wenn er oder sie eine der Funktionen (Die Webschnittstelle / Portal / Gateway / GlobalProtect GlobalProtect GlobalProtect ClientlessVPN) verwendet.
• Palo Alto Networks hat eine Option zum Deaktivieren DHE des Schlüsselalgorithmus veröffentlicht, um den Waschbärangriff (CVE-2020-1968) für eine der oben aufgeführten Funktionen zu entschärfen.
• Damit die Option auf der Weboberfläche wirksam wird, muss die PAN-OS Version auf 8.1.20 / 9.0.11 / 9.1.5 aktualisiert werden. In den PAN-OS Versionen vor 8.1.20 / 9.0.11 / 9.1.5 funktioniert die Option für die Funktionen, aber nicht für die GlobalProtect Weboberfläche.
• Wenn der Kunde 10.0 und höhere Versionen verwendetPAN-OS, muss er nicht in Betracht ziehen, den Schlüsselalgorithmus zu deaktivierenDHE, da diese Versionen nicht von der Sicherheitsanfälligkeit betroffen PAN-OS sind.
• Wenn der Kunde das Standardzertifikat für die Webschnittstelle mit einer der Versionen 8.1, 9.0 und PAN-OS 9.1 verwendet, muss der Kunde die Anweisungen zum Konfigurieren A des Zertifikats für den sicheren WebzugriffGUI befolgen, bevor er die Schritte in dieser Wissensdatenbank ausführt, PAN-OS da "/TLS service profile"SSL für die Option zum Deaktivieren DHE des PAN-OS Schlüsselalgorithmus erforderlich ist.

• PANOS 8.1
• PANOS 9.0
• PANOS 9.1

• Wenn der Kunde eine der Versionen 8.1, 9.0 und 9.1 verwendet, um den Schlüsselalgorithmus zu deaktivierenDHE, PAN-OS kann er den folgenden Befehl in der PAN-OS PAN-OS administrativen Befehlszeilenschnittstelle mit dem Konfigurationsmodus ON ausführen und PAN-OS die Änderung übernehmen. In allen Beispielen wird der SSLName des Dienstprofils /TLS management_tls_profile.  

set shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Wenn der Kunde über das Zertifikat in der Multi-Visys-Bereitstellung verfügt, finden Sie unten den Beispielbefehl zum Deaktivieren DHE des Schlüsselalgorithmus.

set vsys vsys1 ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Um die Panorama Weboberfläche selbst zu schützen, finden Sie unten den Beispielbefehl zum Deaktivieren DHE des Schlüsselalgorithmus

set panorama ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Um die Vorlagen zu Panoramaaktualisieren, finden Sie unten den Beispielbefehl zum Deaktivieren DHE des Schlüsselalgorithmus

set template <template name> config shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no

• Der Kunde kann den Namen des SSLServiceprofils /TLS wie folgt abrufen.

admin@Lab98-31-PA-5250# show shared ssl-tls-service-profile
ssl-tls-service-profile {
  management_tls_profile {
    protocol-settings {
      min-version tls1-2;
      max-version max;
      keyxchg-algo-dhe no;
    }
    certificate management;
  }
}
[edit]

• Der Kunde kann mit dem folgenden Befehl testen, ob DHE der Schlüsselalgorithmus bei seiner PAN-OS Bereitstellung ordnungsgemäß deaktiviert ist.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-11-01 02:38 EDT
Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan
Ping Scan Timing: About 100.00% done; ETC: 02:38 (0:00:00 remaining)
Nmap scan report for 10.137.98.31
Host is up (0.00085s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds

• Wenn DHE der Schlüsselalgorithmus bei der PAN-OS Bereitstellung ordnungsgemäß deaktiviert istNOT, sieht das Ergebnis wie folgt aus.

root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address>

Starting Nmap 7.60 ( https://nmap.org ) at 2021-10-31 23:58 EDT
Nmap scan report for 10.137.98.31
Host is up (0.00086s latency).

PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Nmap done: 1 IP address (1 host up) scanned in 0.99 seconds

• Sie können sehen, dass die erste Befehlsausgabe keine Schlüsselalgorithmen enthält DHE . (z.B. "TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256)