따르다새로 발견된 POODLE 취약점, 모든 SSH 서버에서 SSLv3을 비활성화하고 싶습니다. OpenSSH를 사용하여 이를 어떻게 달성할 수 있나요?
답변1
OpenSSH는 SSL을 사용하지 않으므로 이는 문제가 되지 않습니다.
발췌-SSL과 SSH의 차이점은 무엇입니까? 어느 것이 더 안전합니까?그들은 터널 주변의 사물에 대해 서로 다른 견해를 가지고 있습니다. SSL은 전통적으로 X.509 인증서를 사용하여 서버 및 클라이언트 공개 키를 게시합니다. SSH에는 자체 형식이 있습니다. 또한 SSH에는 터널 내부 전송을 위한 일련의 프로토콜(다중 전송 다중화, 터널 내 비밀번호 기반 인증 수행, 엔드포인트 관리 등)이 포함되어 있지만 SSL에는 그러한 프로토콜이 없습니다. 이러한 것들이 SSL에서 사용될 때 SSL의 일부로 간주되지 않습니다(예를 들어 SSL 터널에서 비밀번호 기반 HTTP 인증을 수행할 때 "HTTPS"의 일부라고 말하지만 실제로는 비슷한 방식으로 작동합니다) SSH에서 무슨 일이 일어나는지).
개념적으로 SSH를 사용하여 터널링 부분을 SSL의 터널링 부분으로 바꿀 수 있습니다. 또한 HTTPS를 사용하고 SSL을 SSH-with-data-transport와 인증서에서 서버의 공개 키를 추출하는 후크로 바꿀 수도 있습니다. 과학적으로 불가능한 일은 없으며, 제대로 수행된다면 안전은 그대로 유지될 것입니다. 그러나 현재 광범위한 규칙이나 기존 도구가 없습니다.
추가 증거로 내가 당신에게 지시할 것입니다RFC 4253, "SSH(Secure Shell) 전송 계층 프로토콜"에 대해 설명합니다. 이는 HTTPS/SSL에서 사용되는 것과는 다른 SSH 고유의 사용자 정의 전송 계층입니다.
이 문서에서는 일반적으로 TCP/IP 위에서 실행되는 SSH 전송 계층 프로토콜에 대해 설명합니다. 이 프로토콜은 많은 보안 네트워크 서비스의 기초로 사용될 수 있습니다. 강력한 암호화, 서버 인증 및 무결성 보호를 제공합니다. 압축을 제공할 수도 있습니다.
마지막으로 Security SE 웹사이트의 Q&A 질문은 다음과 같습니다.SSL3 “푸들” 취약점POODLE 공격에 대해 이런 말이 있습니다.
발췌푸들 공격은 이전의 BEAST 및 CRIME과 마찬가지로 선택된 일반 텍스트 컨텍스트에서 작동합니다. SSL로 보호되는 데이터에 관심이 있는 공격자는 다음을 수행할 수 있습니다.
- 얻고자 하는 비밀 값 전후에 자신의 데이터를 삽입합니다.
- 회선에서 생성된 바이트를 검사하고 가로채고 수정합니다.
이러한 조건이 충족되는 주요하고 유일하게 가능한 시나리오는 웹 컨텍스트에서입니다. 공격자는 가짜 Wi-Fi 액세스 포인트를 실행하고 피해자가 탐색하는 웹 페이지(HTTP가 아닌 HTTP)의 일부로 자신의 Javascript 중 일부를 주입합니다. 사악한 자바스크립트는 브라우저가 피해자의 브라우저에 쿠키가 있는 HTTPS 사이트(예: 은행 웹사이트)로 요청을 보내도록 합니다. 공격자는 그 쿠키를 원합니다.
따라서 OpenSSH는 이 특정 위협에 대해 어떤 조치도 취할 필요가 없습니다.