Cisco IOS: vypnutí slabých šifer u SSH

Cisco IOS umožňuje od verze 15.2 nastavit konkrétní šifrovací a hašovací algoritmy u vestavěného SSH serveru který se používá k managementu zařízení. Následující postup byl ověřen na modelu WS-C2960X-48TD-L s verzí IOS 15.2(5)E2. Verze 15.0 a 12.X toto nastavení neumožňují.

Například OpenVAS reportuje následující algoritmy jako zastaralé a slabé:

3des-cbc
aes128-cbc
aes192-cbc
aes256-cbc.

Necháme si vypsat nabízené algoritmy ve výchozí konfiguraci:
Switch#show ip ssh | inc Encryption|MAC

A dostaneme:
Encryption Algorithms:aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
MAC Algorithms:hmac-sha1,hmac-sha1-96

Z nabízených šifer je nejsilnější šifra AES256 v módu CRT. Povolíme tedy jen tuto jedinou:
Switch(config)#ip ssh server algorithm encryption aes256-ctr

Nejvyšší hašovací algoritmus je HMAC-SHA1. Opět, povolíme jen tento:
Switch(config)#ip ssh server algorithm mac hmac-sha1

Pro kontrolu znovu vypíšeme nabízené algoritmy:
Switch#show ip ssh | inc Encryption|MAC

A výstup pro kontrolu by měl ukazovat toto:
Encryption Algorithms:aes256-ctr
MAC Algorithms:hmac-sha1

Po připojení skrz SSH je možné vidět aktuální sezení a použité šifry:
Switch#show ssh

Connection Version Mode Encryption  Hmac         State                 Username
0          2.0     IN   aes256-ctr  hmac-sha1    Session started       user
0          2.0     OUT  aes256-ctr  hmac-sha1    Session started       user


Zdroje:

• https://supportforums.cisco.com/document/12338141/guide-better-ssh-security
• http://linux.uits.uconn.edu/2014/06/25/ssh-weak-ciphers-and-mac-algorithms/