OpenSSH 7

OpenSSH 7 przyniósł między innymi wycofanie dla wsparcia mechanizmu wymiany kluczy za pomocą grupy 1 Diffie-Hellmana diffie-hellman-group1-sha1 (można ją zaatakować za pomocą Logjam).

Wszystko dobrze, do czasu próby dostania się potem do urządzeń, które domyślnie (lub w ogóle) obsługują tylko wymianę grupy 1. W drugim wypadku czeka nas uaktualnienie oprogramowania, w pierwszym - rekonfiguracja.

Na urządzeniach Cisco ASA należy dopisać do konfiguracji:

ssh key-exchange group dh-group14-sha1

Na urządzeniach z Cisco IOS należy ustawić minimalną długość kluczy - IOS domyślnie iteruje z listy dostępnych mechanizmów i pominie (jako serwer) te, które nie spełniają tego wymogu:

ip ssh dh min size 2048

Łukasz Bromirski

Read more posts by this author.