• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

防火墙发现目标主机支持RSA密钥交换【原理扫描】漏洞怎么整改?

1天前提问
  • 0关注
  • 0收藏,76浏览
粉丝:0人 关注:0人

问题描述:

漏洞名称

目标主机支持RSA密钥交换【原理扫描】

详细描述

目标主机支持 RSA 密钥交换意味着缺乏前向保密,存在历史流量解密风险,是过时且不推荐使用的配置,建议更新为 ECDHE 等临时密钥交换算法,以增强会话安全性和隐私保护。

解决办法

解决方案:

禁用 RSA key exchange:只支持临时密钥交换算法(如 ECDHE_RSA 或 ECDHE_ECDSA)。

强制 TLS 1.2 或 TLS 1.3,并优先选择支持前向保密的密码套件,比如:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

威胁分值

5.0

危险插件

发现日期

2009-01-05

CVSS评分

5.0

3 个回答
粉丝:132人 关注:11人

漏洞cve发一下。



1、 获取防火本地证书:

把防火墙本地的证书导出到PC本地:

 

防火墙开启xftp server enable,个人PC通过xftp将https-server.p12证书文件拿出。

2、 登录防火墙web页面,进行PKI及证书部分操作:

a、 对象-证书与密钥-PKI-证书,新建PKI域

b、 对象-证书与密钥-PKI-证书,选择新建的h3c,导入https-server.p12证书。

注意:trust-local-cert enable命令用来开启设备信任导入的本地证书功能。设备默认不开启,需进入到pki视图开启trust-local-cert enable,才可正常导入本地证书。


3、 对象-SSL-服务器段策略,新建策略,算法去除RSA等弱算法:

4、 网络-服务-http/https,在https登录模块,选择刚刚创建的h3c服务器端策略:

提示会自动重启https服务,也可命令行手动undo ip https enable,之后再ip https enable手动重启https服务。

(如果undo ip https enable,undo ip http enable后还有端口在监听,配置undo autodeploy url enable)

 

5、重新登录设备https页面,能够正常登录。再次进行漏洞扫描即可。



暂无评论

粉丝:11人 关注:9人

1. 确认防火墙SSL服务配置:进入对应SSL服务(如HTTPS管理、SSL VPN等)的配置视图,查看当前密码套件和TLS版本。命令:display ssl server [service-name](不同服务可能命令略有差异,如SSL VPN用display sslvpn server)。
2. 配置TLS版本:强制启用TLS 1.2或1.3,禁用低版本。命令:ssl server [service-name] tls version 1.2 1.3(根据设备支持情况调整,部分设备需用ssl protocol命令)。
3. 配置密码套件:仅保留支持ECDHE的套件,删除RSA密钥交换相关套件。命令:ssl server [service-name] cipher-suite "ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384"(具体套件名称需与设备支持的格式一致,可通过display ssl cipher-suite查看支持列表)。
4. 验证配置:重新查看SSL服务配置,确认TLS版本和密码套件已更新,无RSA密钥交换套件。命令:display ssl server [service-name],并可通过外部扫描工具验证漏洞是否修复。

暂无评论

粉丝:18人 关注:2人

防火墙整改:禁用纯 RSA 密钥交换、启用带前向保密 ECDHE 套件(H3C SecPath V7 通用)

一、漏洞原理简述

纯 RSA 密钥交换(RSA_WITH_xxx无前向保密 PFS:私钥一旦泄露,所有历史加密流量均可被解密;
ECDHE 系列(ECDHE_RSA_WITH_xxx)采用临时椭圆曲线密钥,每次会话独立密钥,满足等保 / 漏扫合规要求。
整改核心:删除所有不带 ECDHE 的纯 RSA 密码套件,仅保留 ECDHE 系列套件。

二、分场景完整配置(WEB 管理 / SSL VPN / 设备 Web 管理界面 / 负载均衡 HTTPS)

场景 1:防火墙自身 Web 管理页面(漏扫扫描防火墙管理 IP 出现漏洞)

CLI 操作

bash
运行
system-view # 1. 查看当前https加密套件列表 display ip https ssl-server policy # 2. 编辑SSL策略,清空旧套件,仅保留ECDHE合规套件 ssl server-policy HTTPS-WEB-POLICY undo ciphersuite all # 仅添加带ECDHE、支持PFS前向保密的套件 ciphersuite ECDHE-RSA-AES128-GCM-SHA256 ciphersuite ECDHE-RSA-AES256-GCM-SHA384 # 可选补充国密/更高安全套件,不要添加纯RSA(如RSA-AES128-GCM-SHA256) quit # 绑定到https服务 ip https ssl-server-policy HTTPS-WEB-POLICY # 强制最低TLS版本1.2,禁用TLS1.0/1.1 ip https ssl min-version tls1.2 # 重启https服务生效 undo ip https enable ip https enable

Web 界面路径

系统→管理设置→HTTP/HTTPS 服务→SSL 策略管理
新建 / 编辑 SSL 策略,移除全部 RSA 开头无 ECDHE 套件,仅保留 ECDHE-RSA-GCM 系列,最低 TLS 版本设为 TLS1.2。

场景 2:SSL VPN 远程接入(外网扫描 VPN 网关 IP)

bash
运行
system-view ssl server-policy SSLVPN-POLICY undo ciphersuite all ciphersuite ECDHE-RSA-AES128-GCM-SHA256 ciphersuite ECDHE-RSA-AES256-GCM-SHA384 quit # SSL VPN引用策略 ssl vpn gateway GW01 ssl server-policy SSLVPN-POLICY ssl min-version tls1.2 quit

场景 3:负载均衡 HTTPS 虚拟服务器(对外业务网站)

bash
运行
ssl server-policy LB-HTTPS undo ciphersuite all ciphersuite ECDHE-RSA-AES128-GCM-SHA256 ciphersuite ECDHE-RSA-AES256-GCM-SHA384 quit loadbalance virtual-server WEB-VS type https ssl server-policy LB-HTTPS ssl min-version tls1.2

三、关键禁用红线(绝对不能保留)

所有纯 RSA 密钥交换套件必须全部删除,示例黑名单:
  • RSA-AES128-GCM-SHA256
  • RSA-AES256-GCM-SHA384
  • RSA-AES128-CBC-SHA
  • RSA-AES256-CBC-SHA

四、整改后验证步骤

  1. 防火墙侧校验配置
bash
运行
# 确认套件仅存在ECDHE display ssl server-policy name 策略名 # 确认最低TLS版本 display ip https | include min-version
  1. 漏扫复测验证
    使用漏洞扫描工具重新扫描目标 IP,「目标主机支持 RSA 密钥交换」漏洞消失;
  2. 业务连通性测试
    外网客户端浏览器、SSL VPN 客户端、业务系统均可正常建立 HTTPS 连接,无访问失败。

五、补充优化建议

  1. 优先启用 TLS 1.3:支持 TLS1.3 的防火墙可追加 ssl min-version tls1.3,安全性更高;
  2. 关闭弱加密算法:不要添加 CBC、3DES、SHA1 类老旧套件;
  3. 定期基线核查:每次设备升级后重新核对 SSL 套件,避免升级恢复默认弱配置。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明