A2000-Cloud被系统扫描到目标主机支持RSA密钥交换【原理扫描】 怎么整改?
- 0关注
- 0收藏,118浏览
问题描述:
A2000-Cloud 版本6114P01 被扫描到漏洞怎么整改?
|
漏洞名称 |
|
|
详细描述 |
目标主机支持 RSA 密钥交换意味着缺乏前向保密,存在历史流量解密风险,是过时且不推荐使用的配置,建议更新为 ECDHE 等临时密钥交换算法,以增强会话安全性和隐私保护。 |
|
解决办法 |
解决方案: |
|
威胁分值 |
5.0 |
|
危险插件 |
否 |
|
发现日期 |
2009-01-05 |
|
CVSS评分 |
5.0 |
最佳答案
A2000-Cloud V6114P01 关闭纯 RSA 密钥交换、修复该漏洞完整整改方案
一、漏洞原理说明
扫描报「支持 RSA 密钥交换」,指设备 TLS 密码套件中存在不带 ECDHE 的纯 RSA 加密套件(如 TLS_RSA_WITH_AESxxx)。
纯 RSA 无临时密钥,不具备前向保密:若私钥泄露,所有历史抓取的加密流量均可被解密;合规 / 等保扫描会判定中危漏洞。
整改核心:删除全部纯 RSA 类密码套件,仅保留带 ECDHE 的前向保密套件,同时强制仅 TLS1.2/1.3。
二、分两处配置整改(A2000-Cloud 有两处 TLS 套件控制)
场景 1:设备 Web 管理页面 HTTPS 服务(登录管理界面用)
1. Web 界面操作步骤
登录 A2000-Cloud 管理后台 → 【系统】→【设备管理】→【服务管理】
找到「Web 管理服务」,点击编辑 TLS 配置
协议版本:仅勾选 TLS 1.2、TLS 1.3,取消 TLS1.0/1.1
加密套件自定义,只保留 ECDHE 开头套件,全部删除 TLS_RSA_xxx 纯 RSA 套件
推荐合规套件列表(直接复制选用):
plaintext
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
TLS_AES_128_GCM_SHA256
TLS_AES_256_GCM_SHA384
TLS_CHACHA20_POLY1305_SHA256
保存并重启 Web 服务生效。
2. CLI 命令行等效配置(推荐,精准管控)
plaintext
system-view
# 1. 限制管理SSL仅启用TLS1.2/1.3
ssl server version tls1.2 tls1.3
# 2. 自定义SSL加密策略,剔除所有纯RSA套件
ssl server cipher-suite custom
ssl server cipher-suite add TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ssl server cipher-suite add TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
ssl server cipher-suite add TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
ssl server cipher-suite add TLS_AES_128_GCM_SHA256
ssl server cipher-suite add TLS_AES_256_GCM_SHA384
ssl server cipher-suite add TLS_CHACHA20_POLY1305_SHA256
# 删除默认自带的纯RSA套件(关键)
ssl server cipher-suite remove TLS_RSA_WITH_AES_128_GCM_SHA256
ssl server cipher-suite remove TLS_RSA_WITH_AES_256_GCM_SHA384
ssl server cipher-suite remove TLS_RSA_WITH_AES_128_CBC_SHA256
ssl server cipher-suite remove TLS_RSA_WITH_AES_256_CBC_SHA256
# 保存配置
save force
场景 2:业务 SSL 卸载 / SSL 代理(如果设备做业务 HTTPS 解密)
若 A2000-Cloud 对外发布业务 SSL 虚拟服务器,同步修改 SSL 模板:
plaintext
system-view
# 新建合规SSL策略模板
ssl policy SSL-SECURE
version tls1.2 tls1.3
cipher-suite custom
cipher-suite add TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
cipher-suite add TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
cipher-suite add TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
cipher-suite add TLS_AES_128_GCM_SHA256
cipher-suite add TLS_AES_256_GCM_SHA384
cipher-suite add TLS_CHACHA20_POLY1305_SHA256
cipher-suite remove TLS_RSA_*
# 将SSL模板绑定到业务虚拟服务
virtual-server 业务服务名 type ssl
ssl apply SSL-SECURE
三、加固配套补充(避免复测再次爆出同类漏洞)
禁用弱加密算法(3DES、RC4、SHA1、CBC 模式套件),仅保留 GCM 流式加密;
关闭 TLS 会话复用静态 RSA 密钥机制;
定期更新设备 SSL 加密策略库,升级 A2000-Cloud 至最新补丁版本(6114P01 可升级后续稳定版本优化密码套件默认策略);
若存在 SSH 服务同步加固:SSH 密钥交换算法仅启用 ecdsa-sha2/nistp 系列,禁用 rsa1024 弱交换。
四、复测验证步骤
配置完成后保存、重启 Web 管理服务;
使用漏洞扫描工具重新扫描设备管理 IP 443 端口;
验证命令查看当前生效套件:
plaintext
display ssl server cipher-suite
输出中无任何TLS_RSA_开头套件即整改完成;
4. 浏览器访问设备管理页,按 F12 - 安全 - 连接查看,密钥交换方式显示「ECDHE」代表前向保密生效。
五、常见踩坑点
只改业务 SSL 模板、忘记改设备自身 Web 管理 SSL 套件,复测依旧报漏洞;
仅关闭 TLS1.0/1.1,未删除纯 RSA 套件,漏洞无法消除;
老旧客户端(IE8、老旧工控系统)不支持 ECDHE/TLS1.2,会出现无法登录管理页面,需同步升级客户端或仅在内网可信终端访问管理地址。
怎么登陆设备管理后台?正常admin界面是没有web服务管理这项
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
怎么登陆设备管理后台?正常admin界面是没有web服务管理这项