¿Cómo automatizar el cambio de clave privada de SSH y VPN cada 3 horas?

Question

La característica que estás buscando essecreto directo. SSHv2, así como configuraciones modernas de TLS e IPsec,ya lo implementomediante el usoIntercambio de claves Diffie-Hellmanpara generar una nueva clave de cifrado para cada conexión. En la mayoría de los casos, no es necesario hacer nada adicional.

En particular, cambiar la clave privada del cliente o servidor SSH no ayudará a todos:no se usanpara el cifrado para empezar. El único propósito de estas claves es realizar una firma digital con fines de autenticación.

Sin embargo, todavía hay algunos parámetros que puedes verificar y ajustar:

En los servicios basados en TLSv1.2, asegúrese de que los conjuntos de cifrado permitidos utilicen "DHE"/"ECDHE", como en "DH efímero". Dependiendo de sus clientes, es posible que sea posible desactivar el DHE tradicional y conservar solo los conjuntos de cifrado ECDHE. (De lo contrario, al menos genere un nuevo archivo de "parámetros DH" para cada servicio en lugar de utilizar el archivo predeterminado).

Para obtener información más actualizada, busqueMejores prácticas de implementación de TLS.
En SSHv2, revise los algoritmos de intercambio de claves habilitados (KexAlgorithms). Quizás quieras considerar deshabilitar todos los modos "diffie-hellman-*" (o si estás usando OpenSSH, al menos regenerar el /etc/ssh/moduliarchivo).

Además, SSHv2 e IPsec admiten reiniciar automáticamente el intercambio de claves y cambiar a una nueva clave de cifrado después de un cierto intervalo de tiempo y/o después de que se haya transferido una gran cantidad de datos. En OpenSSH (cliente o servidor) puede habilitar el cambio de claves periódico configurando la RekeyLimitopción. En IPsec, la recodificación de claves generalmente se aplica a través de la configuración de "vida útil" de la asociación de seguridad.

Answer 1

La característica que estás buscando essecreto directo. SSHv2, así como configuraciones modernas de TLS e IPsec,ya lo implementomediante el usoIntercambio de claves Diffie-Hellmanpara generar una nueva clave de cifrado para cada conexión. En la mayoría de los casos, no es necesario hacer nada adicional.

En particular, cambiar la clave privada del cliente o servidor SSH no ayudará a todos:no se usanpara el cifrado para empezar. El único propósito de estas claves es realizar una firma digital con fines de autenticación.

Sin embargo, todavía hay algunos parámetros que puedes verificar y ajustar:

En los servicios basados en TLSv1.2, asegúrese de que los conjuntos de cifrado permitidos utilicen "DHE"/"ECDHE", como en "DH efímero". Dependiendo de sus clientes, es posible que sea posible desactivar el DHE tradicional y conservar solo los conjuntos de cifrado ECDHE. (De lo contrario, al menos genere un nuevo archivo de "parámetros DH" para cada servicio en lugar de utilizar el archivo predeterminado).

Para obtener información más actualizada, busqueMejores prácticas de implementación de TLS.
En SSHv2, revise los algoritmos de intercambio de claves habilitados (KexAlgorithms). Quizás quieras considerar deshabilitar todos los modos "diffie-hellman-*" (o si estás usando OpenSSH, al menos regenerar el /etc/ssh/moduliarchivo).

Además, SSHv2 e IPsec admiten reiniciar automáticamente el intercambio de claves y cambiar a una nueva clave de cifrado después de un cierto intervalo de tiempo y/o después de que se haya transferido una gran cantidad de datos. En OpenSSH (cliente o servidor) puede habilitar el cambio de claves periódico configurando la RekeyLimitopción. En IPsec, la recodificación de claves generalmente se aplica a través de la configuración de "vida útil" de la asociación de seguridad.

¿Cómo automatizar el cambio de clave privada de SSH y VPN cada 3 horas?

Respuesta1

información relacionada