问题描述:
版本型号:H3C WX2510H Version 7.1.064, Release 5457
安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。
当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。DHE man-in-the-middle protection (Logjam)
出现这种漏洞怎么修复。
核心修复步骤
我们需要新建一个策略,在配置加密套件时,只选择不包含
DHE 字样的算法(推荐使用 RSA 或 ECDHE 开头的强加密套件)。1<H3C> system-view
2# 创建一个名为 secure_policy 的 SSL 服务端策略(名字可自定义)
3[H3C] ssl server-policy secure_policy
4
5# 配置加密套件。在输入 ciphersuite 后按 ? 查看可选算法,
6# 务必避开 dhe_rsa_aes_128_cbc_sha 等带 DHE 的选项,
7# 只添加如下的强加密算法(根据设备实际支持的选项来配):
8[H3C-ssl-server-policy-secure_policy] ciphersuite rsa_aes_128_cbc_sha
9[H3C-ssl-server-policy-secure_policy] ciphersuite rsa_aes_256_cbc_sha
10[H3C-ssl-server-policy-secure_policy] ciphersuite rsa_3des_ede_cbc_sha策略配置好后,需要将其绑定到设备的 Web 管理(HTTPS)服务上,并通过重启服务使配置生效。
1# 暂时关闭 HTTPS 和 HTTP 服务
2[H3C] undo ip https enable
3[H3C] undo ip http enable
4
5# 将新建的强加密策略应用到 HTTPS 服务
6[H3C] ip https ssl-server-policy secure_policy
7
8# 重新开启 HTTPS 和 HTTP 服务
9[H3C] ip https enable
10[H3C] ip http enable如果你的 WX2510H 开启了 SSLVPN 功能,也需要进入对应的 SSLVPN 上下文(context)视图,引用上述新建的
secure_policy,并重启 SSLVPN 服务使配置生效。1# 进入 SSLVPN 上下文视图(假设上下文名称为 sslvpn)
2[H3C] sslvpn context sslvpn
3# 应用新的 SSL 服务端策略
4[H3C-sslvpn-context-sslvpn] ssl server-policy secure_policy
5# 重启 SSLVPN 服务使其生效
6[H3C-sslvpn-context-sslvpn] undo service enable
7[H3C-sslvpn-context-sslvpn] service enable验证修复效果
ciphersuite 时不确定哪些是安全的,只需记住一个原则:避开任何带有 DHE、EDH 字样的算法,优先选用 ECDHE 或纯 RSA 开头的加密套件。弄完后 HTTPS启动不了了,提示端口被占用
WX2510H V7 R5457 Logjam(DHE≤1024 位弱 DH)漏洞修复方案
漏洞成因:AC 默认 SSL 策略包含DHE_RSA套件(默认 DH=1024bit),触发 Logjam 漏洞;同时默认开启 TLS1.0/1.1 弱协议,漏扫告警【瞬时 Diffie-Hellman 密钥≤1024 位】。
设备:WX2510H,Version 7.1.064 Release5457,修复对象:Web 管理 HTTPS、SSH、无线 Portal SSL三处 SSL 服务。
一、CLI 一键整改配置(复制逐条执行,现场优先)
1、全局禁用老旧 SSL/TLS(只保留 TLS1.2,根治弱协议)
plaintext
system-view
# 关闭SSLv3、TLS1.0、TLS1.1,仅放行TLS1.2
ssl version ssl3 disable
ssl version tls1.0 disable
ssl version tls1.1 disable
2、新建高强度 SSL 服务器策略(剔除全部 DHE,只留 ECDHE/RSA 强套件,根除 1024 位 DHE)
plaintext
# 创建SSL策略https-safe
ssl server-policy https-safe
# 清空默认所有套件
undo ciphersuite all
# 只添加无DHE的强加密(ECDHE优选,无DHE就不会生成1024DH参数)
ciphersuite ecdhe_rsa_aes_128_gcm_sha256
ciphersuite ecdhe_rsa_aes_256_gcm_sha384
ciphersuite rsa_aes_128_gcm_sha256
ciphersuite rsa_aes_256_gcm_sha384
# 关闭SSL不安全重协商
undo ssl renegotiation enable
quit
3、HTTPS 管理绑定新 SSL 策略(WEB 登录生效)
plaintext
ip https ssl-server-policy https-safe
# 可选:限制WEB管理仅内网访问,加固
ip https acl 3000
acl number 3000
rule permit source 管理网段 反掩码
4、SSH 加固(关闭弱加密 / 弱 MAC,配套漏扫)
plaintext
ssh server cipher-suite high
ssh server mac-suite high
5、无线 Portal(如有 Web 认证)绑定 SSL 策略(有 Portal 必配)
plaintext
portal ssl-server-policy https-safe
二、WEB 界面配置路径(备用)
系统→SSL→服务器策略:新建https-safe,加密套件只勾选ECDHE_、RSA_AES_GCM,所有带 DHE、DES、RC4 全部取消勾选;
系统→设备管理→HTTP/HTTPS:HTTPS SSL 策略选择https-safe;
无线→Portal→全局配置:Portal SSL 策略绑定https-safe;
系统→SSH:加密算法 / 摘要算法选择【高安全】。
三、核查验证命令(配置完检查)
plaintext
display ssl server-policy https-safe
display ip https configuration
display portal configuration | include ssl
输出 Ciphersuites 字段无任何 DHE_开头字段 = DHE 已剔除,Logjam 漏洞修复。
四、备选方案 & 版本说明
无法修改套件(老固件 R5457 底层 DH 固定 1024):升级固件至R5822P05 及以上正式版,新版支持自定义 DH=2048bit;
临时规避:外网关闭 HTTPS,仅内网 HTTP 管理undo ip https enable;
漏扫复测:配置完成保存后,重启 HTTPSundo ip https enable;ip https enable,重新漏洞扫描。
精简总结
核心 = 删除全部 DHE 加密套件,只保留 ECDHE/RSA-GCM,禁用 TLS1.0/1.1,即可消除 Logjam 弱 DH1024 告警。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
弄完后 HTTPS启动不了了,提示端口被占用