暂无评论
S6850-56HF-G / S6805-56HF-G 四项中危漏洞完整修复方案
设备为 Comware V7 平台,逐条对应 4 个扫描漏洞,分HTTPS/SSL 证书、TLS 弱协议、RSA 静态密钥交换、SSH 弱加密四大模块,提供可直接复制配置。
漏洞清单对应修复总览
检测到目标 SSL 证书已过期 → 替换更新 HTTPS 本地 SSL 证书
目标使用过期的 TLS1.0 协议 → 全局禁用 TLS1.0/TLS1.1,仅保留 TLS1.2+TLS1.3
目标主机支持 RSA 静态密钥交换 → SSL 策略仅保留 ECDHE/DHE 前向保密套件,移除纯 RSA 套件
SSH 服务支持弱加密算法 → SSH 收紧密钥交换、公钥、对称加密、MAC 算法,禁用弱算法
一、漏洞 1:SSL 证书已过期(HTTPS 管理页面证书)
步骤 1:生成 / 获取新证书(推荐 CA 签发 2048 位 RSA/ECDSA 证书,有效期≥1 年)
支持 PEM/P12 格式,包含证书 + 私钥。
步骤 2:上传证书文件至设备 Flash
通过 TFTP/FTP 上传证书文件(server.p12/server.pem)到交换机根目录。
步骤 3:导入新本地证书,覆盖过期旧证书
plaintext
system-view
# 删除原有过期证书
ssl local-certificate delete 1
# 导入P12加密证书(带私钥密码)
ssl local-certificate import 1 p12 filename server.p12
Please input the password: 输入证书私钥密码
# 绑定证书给HTTPS服务ssl服务器策略
ssl server-policy https-policy
local-certificate 1
quit
# HTTPS绑定SSL策略
ip https ssl-server-policy https-policy
# 重启HTTPS生效
undo ip https enable
ip https enable
校验证书有效期
plaintext
display ssl local-certificate 1
查看 Validity 字段,确认未过期。
二、漏洞 2:禁用 TLS1.0、TLS1.1,仅保留安全 TLS1.2/1.3
全局关闭不安全协议(系统全局 SSL 生效,覆盖 HTTPS 所有 SSL 服务)
plaintext
system-view
# 禁用TLS1.0、TLS1.1、SSL3.0
ssl version ssl3.0 tls1.0 tls1.1 disable
# 关闭SSL重协商漏洞
ssl renegotiation disable
# 同步在HTTPS ssl策略内二次限制,双重防护
ssl server-policy https-policy
version ssl3.0 tls1.0 tls1.1 disable
quit
验证关闭状态
plaintext
display ssl version
输出 tls1.0/tls1.1 为 Disabled 即修复。
三、漏洞 3:移除静态 RSA 密钥交换,仅保留 ECDHE 前向保密套件
扫描报 “支持 RSA 密钥交换” 是指纯 RSA 无临时密钥套件(rsa_aes_xxx),无前向保密,需从 SSL 策略删除,仅保留 ECDHE/DHE 系列加密套件。
plaintext
system-view
ssl server-policy https-policy
# 清空默认全部套件
undo ciphersuite all
# 仅添加安全ECDHE/DHE前向保密套件(无纯RSA静态交换)
ciphersuite ecdhe_rsa_aes_128_gcm_sha256
ciphersuite ecdhe_rsa_aes_256_gcm_sha384
ciphersuite dhe_rsa_aes_128_gcm_sha256
ciphersuite dhe_rsa_aes_256_gcm_sha384
quit
配置后 HTTPS 协商不再返回纯 RSA 密钥交换套件,消除该漏洞告警。
四、漏洞 4:SSH 服务支持弱加密算法修复(核心 4 步)
1)生成强 ECDSA 主机密钥(替代老旧 RSA/DSA 弱密钥)
plaintext
system-view
# 生成256位ECDSA主机密钥
public-key local create ecdsa secp256r1
# 查看生成结果
display public-key local ecdsa public
2)收紧 SSH 密钥交换算法(移除弱 dh-group1-sha1)
plaintext
# 仅保留安全强KEX算法
ssh server key-exchange dh-group-exchange-sha256 dh-group14-sha256 ecdh-sha2-nistp256 ecdh-sha2-nistp384
3)限制 SSH 公钥认证算法(仅 ECDSA,弱化 ssh-rsa)
plaintext
ssh2 algorithm public-key ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
4)对称加密 + MAC 哈希,禁用 3DES/MD5/SHA1 弱算法
plaintext
# 仅AES-GCM强对称加密
ssh2 algorithm cipher aes128-gcm aes256-gcm
# 仅SHA256/SHA384强哈希校验
ssh2 algorithm hmac hmac-sha2-256 hmac-sha2-384
验证 SSH 支持算法
plaintext
display ssh server status
确认无 diffie-hellman-group1-sha1、3des-cbc、hmac-sha1 等弱算法。
五、全量整合完整配置(现场直接粘贴执行)
plaintext
system-view
# ========== 1、禁用不安全TLS协议 ==========
ssl version ssl3.0 tls1.0 tls1.1 disable
ssl renegotiation disable
# ========== 2、HTTPS SSL策略加固,移除纯RSA密钥交换 ==========
ssl server-policy https-policy
local-certificate 1
version ssl3.0 tls1.0 tls1.1 disable
undo ciphersuite all
ciphersuite ecdhe_rsa_aes_128_gcm_sha256
ciphersuite ecdhe_rsa_aes_256_gcm_sha384
ciphersuite dhe_rsa_aes_128_gcm_sha256
ciphersuite dhe_rsa_aes_256_gcm_sha384
quit
ip https ssl-server-policy https-policy
undo ip https enable
ip https enable
# ========== 3、SSH弱算法全盘加固 ==========
public-key local create ecdsa secp256r1
ssh server key-exchange dh-group-exchange-sha256 dh-group14-sha256 ecdh-sha2-nistp256 ecdh-sha2-nistp384
ssh2 algorithm public-key ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
ssh2 algorithm cipher aes128-gcm aes256-gcm
ssh2 algorithm hmac hmac-sha2-256 hmac-sha2-384
# 保存配置
save
六、修复后复测验证命令
查看 SSL 协议版本:display ssl version
查看 SSL 加密套件:display ssl server-policy https-policy
查看 SSH 算法配置:display ssh server status
查看证书有效期:display ssl local-certificate 1
补充注意事项
若设备为 IRF 堆叠两台 S6850/S6805,两台设备需分别导入证书、同步加固 SSL/SSH 配置;
老旧客户端仅支持 TLS1.0 的兼容场景:可临时放开 TLS1.0,扫描完成后再次关闭;
若扫描仍报 RSA 套件:检查是否有其他 SSL 服务(如 SNMPv3、SSL 客户端策略),同步加固对应 ssl client-policy;
固件建议升级至最新 Release 版本,修复底层弱加密套件默认兼容漏洞。
暂无评论
针对您 S6850 和 S6805 交换机扫描出的四个中危漏洞,以下是详细的修复配置方法。
请注意,不同软件版本的命令格式可能存在差异,生产环境操作前建议先查阅对应版本的配置手册,并在测试环境中验证。
问题:交换机使用的SSL证书已过期,会导致HTTPS等加密连接不受信任。
修复方案:重新生成并安装有效证书。
生成新的RSA密钥对:
生成新的DSA密钥对(可选):
生成新的自签名证书(会覆盖旧证书):
注意:
default是H3C设备Web界面默认使用的证书名称。如果您使用的是自己申请的商用证书,请通过pki import命令导入新的证书文件。
(可选)重启HTTPS服务:
重新启用服务可确保证书更新生效。
问题:TLS 1.0是过时且不安全的协议,存在严重安全漏洞。
修复方案:在SSL服务器策略中,仅启用安全的TLS 1.1及以上版本。
进入SSL服务器策略视图:
禁用TLS 1.0,启用TLS 1.1和1.2:
注意:部分旧版本可能不支持
version命令直接指定,需要通过ciphersuite命令或其他方式间接控制。建议查阅您设备版本的《安全配置指导》手册。
问题:使用RSA进行密钥交换易受中间人攻击,不安全。
修复方案:在SSL服务器策略中,配置只使用安全的密钥交换算法。
进入SSL服务器策略视图(同上):
配置安全的加密套件(不包含RSA密钥交换):
注意:
rsa_aes_128_cbc_sha仅为示例,代表使用RSA证书进行身份验证,但密钥交换使用其他算法。具体安全的套件列表请参考官方文档。一个更严格的做法是彻底禁用RSA交换,但这可能影响兼容性,需谨慎评估。
问题:SSH服务支持的弱加密算法(如DES、RC4)容易被破解。
修复方案:在SSH服务中,仅启用安全的加密、MAC和密钥交换算法。
进入SSH服务器视图:
配置安全的加密算法(禁用aes128-cbc、3des-cbc等弱算法):
配置安全的MAC算法(禁用hmac-md5等弱算法):
配置安全的密钥交换算法(禁用diffie-hellman-group1-sha1等弱算法):
保存配置:
影响评估:修改SSL/TLS和SSH配置可能影响依赖旧协议或旧客户端的设备或系统接入。实施前请评估影响范围。
版本差异:不同软件版本的命令可能存在差异。建议以官方文档为准。
官方文档:最权威的配置指南请参考H3C官网的技术文档。
暂无评论
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论