Come posso configurare i cifrari per Dropbear su DD-WRT?

1

Ho installato l'ultima build DD-WRT per il mio router e ho abilitato il demone SSH. Il daemon ascolta il mondo su una porta alta e accetta solo l'autenticazione della chiave, che è un buon inizio. Ma ssh-audit riporta un numero di errori e avvertimenti nella configurazione di Dropbear SSH di DD-WRT: 

$ python ssh-audit.py 10.0.1.1
# general
(gen) banner: SSH-2.0-dropbear_2018.76
(gen) software: Dropbear SSH 2018.76
(gen) compatibility: OpenSSH 7.3+ (some functionality from 6.6), Dropbear SSH 2016.73+
(gen) compression: disabled

# key exchange algorithms
(kex) diffie-hellman-group14-sha256  -- [info] available since OpenSSH 7.3, Dropbear SSH 2016.73
(kex) diffie-hellman-group14-sha1    -- [warn] using weak hashing algorithm
                                     `- [info] available since OpenSSH 3.9, Dropbear SSH 0.53
(kex) diffie-hellman-group1-sha1     -- [fail] removed (in server) since OpenSSH 6.7, unsafe algorithm
                                     `- [fail] disabled (in client) since OpenSSH 7.0, logjam attack
                                     `- [warn] using small 1024-bit modulus
                                     `- [warn] using weak hashing algorithm
                                     `- [info] available since OpenSSH 2.3.0, Dropbear SSH 0.28
(kex) kexguess2@matt.ucc.asn.au      -- [info] available since Dropbear SSH 2013.57

...

# algorithm recommendations (for Dropbear SSH 2018.76)
(rec) -diffie-hellman-group1-sha1    -- kex algorithm to remove
(rec) -diffie-hellman-group14-sha1   -- kex algorithm to remove
(rec) +curve25519-sha256@libssh.org  -- kex algorithm to append
(rec) +diffie-hellman-group16-sha512 -- kex algorithm to append
(rec) -aes128-cbc                    -- enc algorithm to remove
(rec) -aes256-cbc                    -- enc algorithm to remove
(rec) +3des-ctr                      -- enc algorithm to append
(rec) +twofish128-ctr                -- enc algorithm to append
(rec) +twofish256-ctr                -- enc algorithm to append
(rec) -hmac-md5                      -- mac algorithm to remove

Esiste un modo per configurare (abilitare / disabilitare) gli algoritmi di scambio chiavi, crittografia e codice messaggio per il daemon Dropbear SSH di DD-WRT? Ho cercato nei forum DD-WRT e nella wiki ma non ho trovato nulla di conclusivo.

ssh  security  dd-wrt  dropbear 
a paid nerd
fonte
Credo che tu abbia bisogno di hackerare il codice sorgente di Dropbear. Sei pronto per una sfida? :) Queste opzioni non sono configurabili tramite le opzioni di Dropbear, in base al manuale. Devi modificare e compilare Dropbear da solo. Questo è probabilmente dovuto al fatto che Dropbear è progettato per sistemi embedded.
Aulis Ronkainen
@AulisRonkainen Ah, questo ha senso, grazie. Se rendi il tuo commento una risposta, posso contrassegnarlo come accettato.
a paid nerd
Assolutamente, nessun problema
Aulis Ronkainen

Risposte:

1

Per modificare gli algoritmi di crittografia ecc., È necessario modificare il codice sorgente di Dropbear e quindi compilarlo da soli. Le opzioni menzionate non sono configurabili con l'utilità di configurazione Dropbear (secondo il manuale di Dropbear). Ciò è probabilmente dovuto al fatto che Dropbear è progettato per sistemi embedded (come DD-WRT).

Puoi anche aspettare che il team di sviluppo di Dropbear apporti modifiche a questi algoritmi supportati, ma non so se queste modifiche siano incluse nella loro roadmap.

Aulis Ronkainen
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.