问
交换机在漏洞扫描中被扫出个使用了若加密算法
17小时前提问
- 0关注
- 0收藏,58浏览
交换机 SSH 弱加密算法漏洞排查 + 整改(H3C 交换机通用,等保标准整改)
漏洞成因:设备 SSH 服务启用弱加密套件(DES、3DES、Blowfish、CBC 加密、弱 MAC 算法、Diffie-Hellman 小素数密钥交换),等保扫描判定不安全。
一、查看当前 SSH 加密配置命令
plaintext
system-view
#查看全局SSH算法配置
display ssh server configuration
查看三项:加密算法 (cipher)、密钥交换 (kex)、MAC 校验算法,出现 3DES/DES/arcfour 一律为弱算法。
二、一键整改配置(禁用弱算法,仅保留国密 / 高强度加密)
plaintext
system-view
#1、配置安全密钥交换算法,删掉diffie-hellman-group1、group-exchange弱组
ssh server kex algorithm ecdh-sha2-nistp256 ecdh-sha2-nistp384 diffie-hellman-group-exchange-sha256
#2、加密算法:删除3DES、DES,只保留AES系列
ssh server cipher algorithm aes128-cbc aes192-cbc aes256-cbc aes128-ctr aes192-ctr aes256-ctr
#3、MAC哈希算法,禁用弱md5,只保留sha2
ssh server mac algorithm hmac-sha2-256 hmac-sha2-512
#可选:关闭老旧SSH1版本(H3C默认仅SSH2,部分老版本开启兼容SSH1需关闭)
undo ssh server compatible-ssh1x
三、补充其他附带弱加密(等保常顺带检出)
1、HTTPS/SSL 弱加密(WEB 管理)
plaintext
#禁用SSLv3、TLS1.0/1.1,只启用TLS1.2+
ssl server-version tlsv1.2
ssl cipher default secure
2、Telnet 明文(等保必关)
plaintext
undo telnet server enable
四、验证整改完成
配置保存
save force,重新执行:
display ssh server configuration,确认无 3DES、DES、MD5、低版本 DHK。
复测漏洞扫描,弱加密漏洞消失。五、老设备补充说明
老旧 V5 早期固件无部分高强度算法:升级设备正式稳定固件后再配置上述命令,固件过低无法修改加密套件。
暂无评论
在等保测评或日常安全审计中,交换机被扫出“使用了弱加密算法”(通常指 SSH 服务支持了 CBC、RC4、MD5、SHA1 等不安全的算法套件)是非常常见的问题。这主要是因为设备底层系统默认开启了较多兼容老版本客户端的算法。
您可以按照以下两个步骤进行查看与整改:
第一步:如何查看当前启用的算法
通过 Console 或 SSH 登录交换机,进入系统视图后,使用
display 命令查看当前 SSH 服务器正在使用的算法列表:1<H3C> system-view
2[H3C] display ssh server algorithm注:不同厂商和版本的命令可能略有差异,华为设备可能是
display ssh server status 等。第二步:如何整改(禁用弱算法)
整改的核心思路是仅保留高强度的强加密算法,剔除所有弱算法。以下是针对 H3C Comware V7 平台交换机的标准加固配置步骤:
1. 禁用弱密钥交换(KEX)算法
仅保留椭圆曲线算法,禁用存在风险的 DH 系列算法:
仅保留椭圆曲线算法,禁用存在风险的 DH 系列算法:
1[H3C] ssh2 algorithm key-exchange ecdh-sha2-nistp256 ecdh-sha2-nistp3842. 禁用弱加密(Cipher)算法
关闭 CBC 模式,仅保留 CTR 和 GCM 等强加密模式:
关闭 CBC 模式,仅保留 CTR 和 GCM 等强加密模式:
1[H3C] ssh2 algorithm cipher aes256-gcm aes128-gcm aes256-ctr aes128-ctr3. 禁用弱 MAC 算法
关闭 MD5 和 SHA1,仅保留 SHA-2 系列算法:
关闭 MD5 和 SHA1,仅保留 SHA-2 系列算法:
1[H3C] ssh2 algorithm mac sha2-512 sha2-2564. 禁用弱公钥(Public-key)算法
禁用老旧的 DSA 和基于 SHA1 的 ssh-rsa,保留 ECDSA 或新版 RSA:
禁用老旧的 DSA 和基于 SHA1 的 ssh-rsa,保留 ECDSA 或新版 RSA:
1[H3C] ssh2 algorithm public-key ecdsa-sha2-nistp256 rsa-sha2-256 rsa-sha2-5125. 重启 SSH 服务使配置生效
算法策略修改后,必须重启 SSH 服务才能下发生效:
算法策略修改后,必须重启 SSH 服务才能下发生效:
1[H3C] undo ssh server enable
2[H3C] ssh server enable核心注意事项与建议
- 彻底根治需升级固件:如果您的设备型号较老(如 Comware V5 平台),部分底层代码漏洞(如 CVE-2014-0224、CVE-2016-2183)无法单纯通过命令行规避。最彻底的解决方案是将设备的软件版本升级到官方最新的稳定版。
- 防范业务中断风险:禁用上述弱算法后,如果运维人员使用的是非常老旧的 SSH 客户端工具(如旧版 PuTTY、WinSCP 或 OpenSSH),可能会因为算法协商失败而无法连接设备。建议提前确认管理终端的兼容性,必要时先升级客户端工具。
- 保存配置:测试 SSH 能够正常重新登录后,务必执行
save命令保存当前配置。
暂无评论
编辑答案
➤
✖
亲~登录后才可以操作哦!
确定
✖
✖
你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
✖
举报
×
侵犯我的权益
>
对根叔社区有害的内容
>
辱骂、歧视、挑衅等(不友善)
侵犯我的权益
×
侵犯了我企业的权益
>
抄袭了我的内容
>
诽谤我
>
辱骂、歧视、挑衅等(不友善)
骚扰我
侵犯了我企业的权益
×
您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
抄袭了我的内容
×
原文链接或出处
诽谤我
×
您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。
对根叔社区有害的内容
×
垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载
>
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票
不规范转载
×
举报说明
暂无评论