【Description du problème】
Le transfert IP (IP forwording) est activé sur l'hôte distant. Un attaquant peut exploiter ceci pour acheminer des paquets à travers l'hôte et potentiellement contourner certains pare-feu / routeurs / filtrage NAC.
À moins que l'hôte distant ne soit un routeur, il est recommandé de désactiver la transmission IP.
Le serveur SSH est configuré pour prendre en charge le chaînage des blocs de chiffrement (CBC).
cryptage. Cela peut permettre à un attaquant de récupérer le message en texte brut
à partir du texte chiffré.
Notez que ce plugin ne vérifie que les options du serveur SSH et
ne vérifie pas les versions de logiciels vulnérables.
Le serveur SSH distant est configuré pour autoriser les adresses MAC MD5 ou 96 bits.
algorithmes, qui sont considérés comme faibles.
Notez que ce plugin ne vérifie que les options du serveur SSH,
et il ne vérifie pas les versions de logiciel vulnérables.
【Description de la solution】Transfert IP activé
Synopsisin fichiers client xlsx:
L'hôte actif a le transfert IP activé. Un attaquant peut exploiter
ceci pour acheminer des paquets à travers l'hôte et potentiellement contourner certains
pare-feu / routeurs / filtrage NAC.
À moins que l'hôte distant ne soit un routeur, il est recommandé de désactiver la transmission IP.
Veuillez noter que si le commutateur, le pare-feu et le routeur utilisent la fonction de routage,
veuillez ne pas la désactiver, sauf si le périphérique fonctionne en tant que commutateur ou hôte L2.
1 - Cryptage SSH
1) Le serveur SSH est configuré pour prendre en charge le chaînage des blocs de chiffrement (CBC). Cela peut permettre à un attaquant de récupérer le message en clair à partir du texte chiffré.
Pour le commutateur s'il vous plaît faire référence pour changer les commandes ci-dessous :
<HUAWEI> system-view
[HUAWEI] ssh server cipher aes256_ctr aes128_ctr
2) Le serveur SSH distant est configuré pour autoriser les adresses MAC MD5 ou 96 bits.
Algorithmes, qui sont considérés comme faibles.
Pour le commutateur s'il vous plaît faire référence pour changer les commandes ci-dessous :
<HUAWEI> system-view
[HUAWEI] ssh server hmac sha2_256