Ayuda para configurar el enrutador Cisco

Navega tus respuestas
2

Tengo algunos problemas de red en mi red debido a una mala configuración del enrutador y los switches de Cisco. Por favor, dame algunos consejos o soluciones para solucionar estas vulnerabilidades y problemas de configuración.

  1. Nombre de vulnerabilidad: SSH CBC Mode Ciphers Enabled
    Descripción: los cifrados de modo CBC están habilitados en el servidor SSH
    Solución: deshabilite los cifrados del modo CBC y utilice los cifrados del modo CTR

  2. Nombre de vulnerabilidad: SSH Insegure HMAC Algorithms Enabled
    Descripción: Los algoritmos HMAC inseguros están habilitados
    Solución: deshabilite cualquier algoritmo HMAC de 96 bits, deshabilite cualquier algoritmo HMAC basado en MD5.

pregunta Phong Nguyen 27.08.2013 - 08:07
fuente

3 respuestas

2

EDITAR NO MÁS PRECISO CONSULTE LA RESPUESTA A CONTINUACIÓN ABAJO

No hay forma de imponer esto en un enrutador de Cisco. Lo único que puede hacer para fortalecer su configuración es al menos deshabilitar SSHv1 ejecutando: 

#ip ssh version 2

Sin embargo, esto todavía no deshabilitará los algoritmos HBC / MD5 de CBC y de 96 bits. Cisco no ofrece capacidades para ajustar su servidor SSH tan profundamente. Lo único que puede hacer es forzar la conexión hacia el servidor que no utiliza ninguno de los algoritmos mencionados anteriormente. Tenga en cuenta que el cliente necesita hacer esto y que el servidor no puede forzarlo al cliente.

Aquí puede ver qué opciones tiene disponible el cliente SSH en un enrutador Cisco para iniciar una conexión SSH: 

ssh [-v {1 | 2} |-c {aes128-ctr |aes192-ctr|aes256-ctr |aes128-cbc | 3des-cbc | aes192-cbc | aes256-cbc} |-l user-id | -l user-id:vrf-name number ip-address ip-address | -l user-id:rotary number ip-address | -m {hmac-md5 | hmac-md5-96 | hmac-sha1 | hmac-sha1-96} | -o numberofpasswordprompts n | -p port-num] {ip-addr | hostname} [command | -vrf]
    
respondido por el Lucas Kauffman 27.08.2013 - 09:17
fuente
2

Una solicitud de función para agregar la funcionalidad parece haberse resuelto en las últimas versiones de IOS, agregando la funcionalidad.

En las versiones (muy) recientes de IOS (posiblemente restringidas a ciertos trenes, la documentación es extremadamente escasa), debería poder: 

> enable
# configure terminal
(config)# ip ssh server algorithm encryption aes128-ctr aes192-ctr aes256-ctr
(config)# ip ssh server algorithm mac hmac-sha1

Es posible que desee consultar con "?" si las mejores opciones han estado disponibles desde entonces, especialmente desde los MAC antes de usar mi lista tal como está ...

No está directamente relacionado, pero es probable que también quieras esto en la configuración: 

(config)# ip ssh version 2

ip ssh server algorithm hostkey también existe y parece ser equivalente a la opción PubkeyAcceptedKeyTypes de OpenSSH.

Guía de configuración de SSH (los comandos no se encuentran en lista de comandos del maestro todavía, bastante interesante ...)

    
respondido por el Gert van den Berg 14.01.2016 - 07:56
fuente
-1

Es posible que deba actualizar su IOS a la última versión y verificar el soporte de IOS para obtener paquetes de cifrado sólidos.

    
respondido por el AdnanG 27.08.2013 - 10:27
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los hardware utilizados para proteger contra un ataque DDoS en la capa de red? ¿Por qué: valor de inicialización predeterminado de sal y cifrado en Cake PHP Framework?