Asegurando un servidor SFTP

2

Se me ha pedido que asegure un servicio SFTP y que ejecute un escaneo utilizando

nmap.exe --script ssh2-enum-algos <host> -p 22

devuelve lo siguiente:

22/tcp open  ssh
| ssh2-enum-algos:
|   kex_algorithms: (3)
|       diffie-hellman-group14-sha1
|       diffie-hellman-group-exchange-sha1
|       diffie-hellman-group-exchange-sha256
|   server_host_key_algorithms: (2)
|       ssh-dss
|       ssh-rsa
|   encryption_algorithms: (5)
|       aes128-ctr
|       3des-cbc
|       blowfish-cbc
|       arcfour128
|       arcfour
|   mac_algorithms: (7)
|       hmac-md5
|       hmac-sha1
|       hmac-md5-96
|       hmac-sha1-96
|       hmac-sha256
|       hmac-sha2-256
|       [email protected]
|   compression_algorithms: (2)
|       none
|_      zlib

¿Alguien sabe de alguna razón por la que no debería configurarlo de la siguiente manera?

22/tcp open  ssh
| ssh2-enum-algos:
|   kex_algorithms: (1)
|       diffie-hellman-group-exchange-sha256
|   server_host_key_algorithms: (1)
|       ssh-rsa
|   encryption_algorithms: (5)
|       aes128-ctr
|   mac_algorithms: (7)
|       hmac-sha2-256
|       [email protected]
|   compression_algorithms: (2)
|       none
|_      zlib

Estoy esperando que alguien señale que algunos de los componentes anteriores pueden ser necesarios para aplicaciones heredadas o clientes más antiguos, pero no tengo la experiencia suficiente para saber cuál :)

Por cierto, la conexión SSH es administrada por el software SFTP (al descompilar el código Java, se reveló que estaba usando Maverick ) y no confía en OpenSSH.

    
pregunta Bruno 10.01.2017 - 18:14
fuente

1 respuesta

2

Depende de los usuarios que espera que se conecten a su servidor. Si tiene el control de los clientes (puede verificar qué algoritmos son compatibles con ellos y / o actualizarlos), su lista propuesta es de seguridad muy razonable (casi todo lo que excluyó tiene cierta debilidad de seguridad).

Si no tiene el control de los clientes, aún puede registrar la lista de algoritmos admitidos por algún tiempo y verificar que no se eliminará la mayoría de los clientes. Estos días no es una razón por la que un cliente actualizado no debe admitir los algoritmos propuestos, por lo que emitir el mensaje "Por favor, actualice a su cliente" tendría sentido.

La compatibilidad con versiones anteriores es importante principalmente para los clientes, porque hay dispositivos antiguos que ejecutan el servidor SSH que no puede actualizar su software. Pero esto no debería ser un problema para los clientes de SSH.

    
respondido por el Jakuje 10.01.2017 - 20:36
fuente

Lea otras preguntas en las etiquetas