В связи с недавно обнаруженной уязвимостью POODLE я бы хотел отключить SSLv3 на всех моих SSH-серверах. Как мне добиться этого с OpenSSH?
В связи с недавно обнаруженной уязвимостью POODLE я бы хотел отключить SSLv3 на всех моих SSH-серверах. Как мне добиться этого с OpenSSH?
Ответы:
Это не проблема для OpenSSH, так как он не использует SSL.
выдержка - В чем разница между SSL и SSH? Что является более безопасным?Они различаются по вещам, которые находятся вокруг туннеля. SSL традиционно использует сертификаты X.509 для объявления открытых ключей сервера и клиента; SSH имеет свой собственный формат. Кроме того, SSH поставляется с набором протоколов для того, что происходит внутри туннеля (мультиплексирование нескольких передач, выполнение аутентификации на основе пароля в туннеле, управление терминалом ...), в то время как в SSL такого нет, или, точнее, когда такие вещи используются в SSL, они не считаются частью SSL (например, при выполнении HTTP-аутентификации на основе пароля в туннеле SSL мы говорим, что это часть «HTTPS», но на самом деле она работает аналогично что происходит с SSH).
Концептуально, вы можете взять SSH и заменить часть туннеля на часть из SSL. Вы также можете взять HTTPS и заменить SSL-компонент SSH-с-data-transport и хуком для извлечения открытого ключа сервера из его сертификата. Нет научной невозможности, и, если все сделано правильно, безопасность останется прежней. Тем не менее, не существует широкого набора соглашений или существующих инструментов для этого.
В качестве еще одного доказательства я бы направил вас к RFC 4253 , в котором обсуждается «Протокол транспортного уровня Secure Shell (SSH)». Это собственный пользовательский транспортный уровень SSH, он не использует тот же, который использует HTTPS / SSL.
Этот документ описывает протокол транспортного уровня SSH, который обычно работает поверх TCP / IP. Протокол может быть использован в качестве основы для ряда безопасных сетевых сервисов. Он обеспечивает надежное шифрование, проверку подлинности сервера и защиту целостности. Это также может обеспечить сжатие.
И наконец, это вопросы и ответы с сайта безопасности SE под названием: Уязвимость SSL3 «Poodle» говорит об атаке POODLE.
выдержкаАтака пуделя работает в контексте открытого текста, как BEAST и CRIME до этого. Злоумышленник интересуется данными, которые защищены SSL, и он может:
- вводить собственные данные до и после секретного значения, которое он хочет получить;
- проверять, перехватывать и изменять полученные байты на проводе.
Основным и единственно вероятным сценарием, при котором такие условия выполняются, является веб-контекст: злоумышленник запускает поддельную точку доступа WiFi и вставляет свой собственный Javascript как часть веб-страницы (HTTP, а не HTTPS), которую просматривает жертва. Злой Javascript заставляет браузер отправлять запросы на HTTPS-сайт (скажем, на веб-сайт банка), для которого в браузере жертвы есть cookie. Злоумышленник хочет это печенье.
Поэтому для OpenSSH не нужно предпринимать никаких действий против этой конкретной угрозы.