如何禁用DHE为了减轻浣熊攻击的关键算法(CVE-2020 -1968)
13717
Created On 11/01/21 06:05 AM - Last Modified 06/01/23 03:34 AM
Objective
- 客户使用任何PAN-OS8.1,PAN-OS 9.0 和PAN-OS9.1版本需要考虑禁用DHE为了减轻浣熊攻击的关键算法(CVE-2020 -1968),如果他或她正在使用其中一项功能(Web 界面 /GlobalProtect门户网站 /GlobalProtect网关 /GlobalProtect无客户端VPN).
- Palo Alto Networks 发布了一个选项来禁用DHE为了减轻浣熊攻击的关键算法(CVE-2020 -1968) 用于上述任何功能。
- 为了使该选项在 Web 界面上生效,PAN-OS版本需要升级到 8.1.20 / 9.0.11 / 9.1.5。 在里面PAN-OS8.1.20 / 9.0.11 / 9.1.5 之前的版本,该选项适用于GlobalProtect功能,但不适用于 Web 界面。
- 如果客户正在使用PAN-OS10.0 及更高版本PAN-OS版本,他或她不需要考虑禁用DHE密钥算法,因为这些版本不受漏洞影响。
- 如果客户使用 Web 界面的默认证书与任何PAN-OS8.1,PAN-OS 9.0 和PAN-OS9.1版本,客户需遵循如何配置A安全网络证书-GUI使用权在执行此知识库中的步骤之前,因为“SSL /TLS服务配置文件”是禁用选项所必需的DHE关键算法。
Environment
- PANOS 8.1
- PANOS 9.0
- PANOS 9.1
Procedure
- 如果客户使用任何PAN-OS8.1,PAN-OS 9.0 和PAN-OS9.1版本,为了禁用DHE关键算法,他或她可以在下面的命令中执行PAN-OS具有配置模式的管理命令行界面ON并提交更改。 在所有的例子中SSL/TLS服务配置文件名称是management_tls_profile .
set shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
- 如果客户在多 vsys 部署下有证书,示例命令禁用DHE关键算法如下。
set vsys vsys1 ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
- 为了保护PanoramaWeb 界面本身,示例命令禁用DHE关键算法如下
set panorama ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
- 更新模板Panorama,要禁用的示例命令DHE关键算法如下
set template <template name> config shared ssl-tls-service-profile management_tls_profile protocol-settings keyxchg-algo-dhe no
Additional Information
- 客户可以获得SSL/TLS服务配置文件名称如下。
admin@Lab98-31-PA-5250# show shared ssl-tls-service-profile
ssl-tls-service-profile {
management_tls_profile {
protocol-settings {
min-version tls1-2;
max-version max;
keyxchg-algo-dhe no;
}
certificate management;
}
}
[edit]
- 客户可以测试看看是否DHE密钥算法在其上被正确禁用PAN-OS通过下面的命令部署。
root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address> Starting Nmap 7.60 ( https://nmap.org ) at 2021-11-01 02:38 EDT Stats: 0:00:00 elapsed; 0 hosts completed (0 up), 1 undergoing Ping Scan Ping Scan Timing: About 100.00% done; ETC: 02:38 (0:00:00 remaining) Nmap scan report for 10.137.98.31 Host is up (0.00085s latency). PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | compressors: | NULL | cipher preference: server |_ least strength: A Nmap done: 1 IP address (1 host up) scanned in 0.90 seconds
- 如果DHE关键算法是NOT正确禁用PAN-OS部署,结果如下。
root@remnux:~# nmap --script ssl-enum-ciphers -p 443 <ip address> Starting Nmap 7.60 ( https://nmap.org ) at 2021-10-31 23:58 EDT Nmap scan report for 10.137.98.31 Host is up (0.00086s latency). PORT STATE SERVICE 443/tcp open https | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A | TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A | TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A | TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A | TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A | TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A | compressors: | NULL | cipher preference: server |_ least strength: A Nmap done: 1 IP address (1 host up) scanned in 0.99 seconds
- 您可以看到第一个命令输出不包含DHE关键算法。 (例如“TLS_DHE_RSA_WITH_AES_256_CBC_SHA、TLS_DHE_RSA_WITH_AES_128_CBC_SHA、TLS_DHE_RSA_WITH_AES_256_GCM_SHA384、TLS_DHE_RSA_WITH_AES_128_GCM_SHA256”)