Například OpenVAS reportuje následující algoritmy jako zastaralé a slabé:
3des-cbcNecháme si vypsat nabízené algoritmy ve výchozí konfiguraci:
aes128-cbc
aes192-cbc
aes256-cbc.
Switch#show ip ssh | inc Encryption|MAC
A dostaneme:
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96
Z nabízených šifer je nejsilnější šifra AES256 v módu CRT. Povolíme tedy jen tuto jedinou:
Switch(config)#ip ssh server algorithm encryption aes256-ctr
Nejvyšší hašovací algoritmus je HMAC-SHA1. Opět, povolíme jen tento:
Switch(config)#ip ssh server algorithm mac hmac-sha1
Pro kontrolu znovu vypíšeme nabízené algoritmy:
Switch#show ip ssh | inc Encryption|MAC
A výstup pro kontrolu by měl ukazovat toto:
Encryption Algorithms:aes256-ctr
MAC Algorithms:hmac-sha1
Po připojení skrz SSH je možné vidět aktuální sezení a použité šifry:
Switch#show ssh
Connection Version Mode Encryption Hmac State Username
0 2.0 IN aes256-ctr hmac-sha1 Session started user
0 2.0 OUT aes256-ctr hmac-sha1 Session started user
Zdroje:
Žádné komentáře:
Okomentovat