Como desabilito o SSLv3 em um servidor OpenSSH SSH para evitar POODLE?

8

Na esteira da vulnerabilidade POODLE recém-descoberta , eu gostaria de desativar o SSLv3 em todos os meus servidores SSH. Como faço para conseguir isso com o OpenSSH?

ssh ssl vulnerability poodle drs
fonte
Nem é afetado, verifique CVE-2014-3566
Braiam 15/10
@ Braiam, fui solicitado a fazer esta pergunta porque o artigo vinculado aconselha os usuários a proteger seus servidores SSH contra essa vulnerabilidade.
drs 15/10
Foi um erro deles. O Google, aquele que descobriu que não disse nada sobre SSH.
Braiam 15/10
1
-1 porque SSH e SSL / TLS são dois protocolos completamente diferentes. O ZDnet não é uma fonte técnica confiável.
Bortzmeyer
2
@bortzmeyer Enquanto tecnicamente você está certo, a questão não é tão ruim assim. E muitas pessoas provavelmente estão perguntando o mesmo.
Peterph 17/10

Respostas:

22

Este não é um problema para o OpenSSH, pois não utiliza SSL.

trecho - Qual é a diferença entre SSL vs SSH? Qual é mais seguro?

Eles diferem nas coisas que estão ao redor do túnel. O SSL tradicionalmente usa certificados X.509 para anunciar chaves públicas de servidor e cliente; SSH tem seu próprio formato. Além disso, o SSH vem com um conjunto de protocolos para o que ocorre dentro do túnel (multiplexando várias transferências, realizando autenticação baseada em senha dentro do túnel, gerenciamento de terminal ...) enquanto não houver tal coisa no SSL ou, mais precisamente, quando essas coisas são usadas no SSL e não são consideradas parte do SSL (por exemplo, ao fazer autenticação HTTP baseada em senha em um túnel SSL, dizemos que faz parte do "HTTPS", mas realmente funciona de maneira semelhante ao que acontece com o SSH).

Conceitualmente, você pode usar o SSH e substituir a parte do túnel pela do SSL. Você também pode usar o HTTPS e substituir o SSL com SSH com transporte de dados e um gancho para extrair a chave pública do servidor de seu certificado. Não há impossibilidade científica e, se feita corretamente, a segurança permanecerá a mesma. No entanto, não há um conjunto amplo de convenções ou ferramentas existentes para isso.

Como evidência adicional, eu diria para o RFC 4253 , que discute o "Protocolo de camada de transporte Secure Shell (SSH)". Essa é a camada de transporte personalizada do SSH, não usa a mesma que o HTTPS / SSL.

Este documento descreve o protocolo da camada de transporte SSH, que normalmente é executado sobre o TCP / IP. O protocolo pode ser usado como base para vários serviços de rede seguros. Ele fornece criptografia forte, autenticação de servidor e proteção de integridade. Também pode fornecer compactação.

Por fim, essas perguntas e respostas do site de segurança SE intitulado: Vulnerabilidade “Poodle” do SSL3 tinha a dizer sobre o ataque do POODLE.

excerto

O ataque do Poodle funciona em um contexto de texto simples escolhido, como BEAST e CRIME antes dele. O invasor está interessado nos dados que são protegidos com SSL e pode:

  • injetar seus próprios dados antes e depois do valor secreto que ele deseja obter;
  • inspecione, intercepte e modifique os bytes resultantes no fio.

O cenário principal e praticamente único em que essas condições são atendidas é um contexto da Web: o invasor executa um ponto de acesso WiFi falso e injeta algum Javascript próprio como parte de uma página da Web (HTTP, não HTTPS) que a vítima navega. O mau Javascript faz o navegador enviar solicitações para um site HTTPS (por exemplo, um site de banco) para o qual o navegador da vítima possui um cookie. O atacante quer esse cookie.

Portanto, não é necessário executar nenhuma ação para o OpenSSH contra essa ameaça específica.

Referências

Mais leitura

slm
fonte