Wie kann ich die Chiffren für Dropbear auf DD-WRT konfigurieren?

1

Ich habe den neuesten DD-WRT-Build für meinen Router installiert und den SSH-Dämon aktiviert. Der Daemon überwacht die Welt an einem hohen Port und akzeptiert nur die Schlüsselauthentifizierung, was ein guter Anfang ist. Aber SSH-Audit meldet eine Reihe von Fehlern und Warnungen in der Dropbear-SSH-Konfiguration von DD-WRT: 

$ python ssh-audit.py 10.0.1.1
# general
(gen) banner: SSH-2.0-dropbear_2018.76
(gen) software: Dropbear SSH 2018.76
(gen) compatibility: OpenSSH 7.3+ (some functionality from 6.6), Dropbear SSH 2016.73+
(gen) compression: disabled

# key exchange algorithms
(kex) diffie-hellman-group14-sha256  -- [info] available since OpenSSH 7.3, Dropbear SSH 2016.73
(kex) diffie-hellman-group14-sha1    -- [warn] using weak hashing algorithm
                                     `- [info] available since OpenSSH 3.9, Dropbear SSH 0.53
(kex) diffie-hellman-group1-sha1     -- [fail] removed (in server) since OpenSSH 6.7, unsafe algorithm
                                     `- [fail] disabled (in client) since OpenSSH 7.0, logjam attack
                                     `- [warn] using small 1024-bit modulus
                                     `- [warn] using weak hashing algorithm
                                     `- [info] available since OpenSSH 2.3.0, Dropbear SSH 0.28
(kex) kexguess2@matt.ucc.asn.au      -- [info] available since Dropbear SSH 2013.57

...

# algorithm recommendations (for Dropbear SSH 2018.76)
(rec) -diffie-hellman-group1-sha1    -- kex algorithm to remove
(rec) -diffie-hellman-group14-sha1   -- kex algorithm to remove
(rec) +curve25519-sha256@libssh.org  -- kex algorithm to append
(rec) +diffie-hellman-group16-sha512 -- kex algorithm to append
(rec) -aes128-cbc                    -- enc algorithm to remove
(rec) -aes256-cbc                    -- enc algorithm to remove
(rec) +3des-ctr                      -- enc algorithm to append
(rec) +twofish128-ctr                -- enc algorithm to append
(rec) +twofish256-ctr                -- enc algorithm to append
(rec) -hmac-md5                      -- mac algorithm to remove

Gibt es eine Möglichkeit, die Schlüsselaustausch-, Verschlüsselungs- und Nachrichtencode-Algorithmen für den Dropbear-SSH-Daemon von DD-WRT zu konfigurieren (aktivieren / deaktivieren)? Ich habe die DD-WRT-Foren und das Wiki durchsucht, aber nichts schlüssiges gefunden.

ssh  security  dd-wrt  dropbear 
a paid nerd
quelle
Ich glaube, Sie müssen den Dropbear-Quellcode hacken. Bist du bereit für eine Herausforderung? :) Diese Optionen können laut Handbuch nicht über Dropbear-Optionen konfiguriert werden. Sie müssen Dropbear selbst modifizieren und kompilieren. Dies liegt wahrscheinlich daran, dass Dropbear für eingebettete Systeme entwickelt wurde.
Aulis Ronkainen
@AulisRonkainen Ah, das macht Sinn, danke. Wenn Sie Ihrem Kommentar eine Antwort geben, kann ich ihn als akzeptiert markieren.
a paid nerd
Absolut kein Problem.
Aulis Ronkainen

Antworten:

1

Um die Verschlüsselungsalgorithmen usw. zu ändern, müssen Sie den Quellcode von Dropbear ändern und dann selbst kompilieren. Die von Ihnen genannten Optionen können nicht mit dem Dropbear-Konfigurationsdienstprogramm (gemäß Dropbear-Handbuch) konfiguriert werden. Dies liegt wahrscheinlich daran, dass Dropbear für eingebettete Systeme (wie DD-WRT) entwickelt wurde.

Sie können auch warten, bis das Dropbear-Entwicklungsteam Änderungen an diesen unterstützten Algorithmen vorgenommen hat, aber ich weiß nicht, ob diese Änderungen in der Roadmap enthalten sind.

Aulis Ronkainen
quelle
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.