이후새로 발견된 POODLE 취약점, 모든 SSH 서버에서 SSLv3을 비활성화하고 싶습니다. OpenSSH를 사용하여 이를 어떻게 달성합니까?
답변1
OpenSSH는 SSL을 사용하지 않으므로 이는 문제가 되지 않습니다.
발췌 -SSL과 SSH의 차이점은 무엇입니까? 어느 것이 더 안전합니까?터널 주변에 있는 것들에 따라 다릅니다. SSL은 전통적으로 서버 및 클라이언트 공개 키를 알리기 위해 X.509 인증서를 사용합니다. SSH에는 자체 형식이 있습니다. 또한 SSH에는 터널 내부에 들어가는 프로토콜 세트(여러 전송 다중화, 터널 내에서 비밀번호 기반 인증 수행, 터미널 관리 등)가 포함되어 있지만 SSL에는 그런 것이 없습니다. 더 정확하게 말하면, 이러한 것들은 SSL에서 사용되며 SSL의 일부로 간주되지 않습니다. 예를 들어 SSL 터널에서 비밀번호 기반 HTTP 인증을 수행할 때 "HTTPS"의 일부라고 말하지만 실제로는 비슷한 방식으로 작동합니다. SSH에서 무슨 일이 일어나는지).
개념적으로 SSH를 사용하여 터널 부분을 SSL의 부분으로 바꿀 수 있습니다. 또한 HTTPS를 사용하고 SSL을 데이터 전송이 포함된 SSH와 후크로 교체하여 인증서에서 서버 공개 키를 추출할 수도 있습니다. 과학적으로 불가능하다는 것은 없으며, 제대로 수행된다면 보안은 동일하게 유지될 것입니다. 그러나 이를 위한 광범위한 규칙이나 기존 도구가 없습니다.
추가 증거로 나는 당신에게 다음을 지시할 것입니다.RFC 4253, "SSH(Secure Shell) 전송 계층 프로토콜"에 대해 설명합니다. 이는 SSH의 자체 사용자 정의 전송 계층이며 HTTPS/SSL이 사용하는 것과 동일한 계층을 사용하지 않습니다.
이 문서에서는 일반적으로 TCP/IP 위에서 실행되는 SSH 전송 계층 프로토콜에 대해 설명합니다. 이 프로토콜은 다양한 보안 네트워크 서비스의 기초로 사용될 수 있습니다. 강력한 암호화, 서버 인증 및 무결성 보호를 제공합니다. 압축을 제공할 수도 있습니다.
마지막으로 보안 SE 사이트의 Q&A 제목은 다음과 같습니다.SSL3 “푸들” 취약점POODLE 공격에 대해 이런 말이 있었습니다.
발췌푸들 공격은 이전의 BEAST 및 CRIME과 같이 선택된 일반 텍스트 컨텍스트에서 작동합니다. 공격자는 SSL로 보호되는 데이터에 관심이 있으며 다음을 수행할 수 있습니다.
- 그가 얻고자 하는 비밀 값 전후에 자신의 데이터를 주입합니다.
- 연결에서 결과 바이트를 검사하고 가로채고 수정합니다.
그러한 조건이 충족되는 가장 그럴듯한 주요 시나리오는 웹 컨텍스트입니다. 공격자는 가짜 WiFi 액세스 포인트를 실행하고 피해자가 탐색하는 웹 페이지(HTTP가 아닌 HTTP)의 일부로 자신의 일부 Javascript를 주입합니다. 사악한 자바스크립트는 브라우저가 피해자의 브라우저에 쿠키가 있는 HTTPS 사이트(예: 은행 웹사이트)로 요청을 보내도록 만듭니다. 공격자는 그 쿠키를 원합니다.
따라서 이 특정 위협에 대해 OpenSSH에 대해 취해야 할 조치는 없습니다.