• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

交换机中危漏洞修复

3小时前提问
  • 0关注
  • 0收藏,34浏览
粉丝:0人 关注:1人

问题描述:

检测到目标SSL证书已过期【原理扫描】

目标使用过期的TLS1.0 版协议【原理扫描】

目标主机支持RSA密钥交换【原理扫描】

SSH 服务支持弱加密算法【原理扫描】

设备型号:S6850-56HF-G 和 S6805-56HF-G

组网及组网描述:

检测到目标SSL证书已过期【原理扫描】

目标使用过期的TLS1.0 版协议【原理扫描】

目标主机支持RSA密钥交换【原理扫描】

SSH 服务支持弱加密算法【原理扫描】

设备型号:S6850-56HF-G 和 S6805-56HF-G

4 个回答
粉丝:133人 关注:11人

漏洞cve发一下

暂无评论

粉丝:12人 关注:9人

1. SSL证书过期修复
生成新证书:
pki create rsa local-key-pair name ssl-key modulus 2048
pki request local name ssl-req subject cn=设备域名/or IP
pki import certificate local name ssl-cert file ssl-cert.crt
绑定证书到HTTPS服务:
ip https ssl-server-certificate ssl-cert
2. 禁用TLS1.0协议
ip https ssl-protocol tls1.1 tls1.2
3. 禁用RSA密钥交换(HTTPS)
ip https ssl-ciphersuite high (仅保留ECDHE等安全密钥交换算法)
4. SSH弱加密算法修复
配置SSH加密算法:
ssh server cipher aes256-ctr aes192-ctr aes128-ctr
配置SSH MAC算法:
ssh server mac hmac-sha2-256 hmac-sha2-512
配置SSH密钥交换算法:
ssh server kex ecdh-sha2-nistp256 ecdh-sha2-nistp384
验证命令
检查HTTPS配置:display ip https
检查SSH配置:display ssh server status
注意:操作前备份配置,部分命令需重启服务生效(ip https restart/ssh server restart)。

暂无评论

粉丝:19人 关注:2人

S6850-56HF-G / S6805-56HF-G 四项中危漏洞完整修复方案
设备为 Comware V7 平台,逐条对应 4 个扫描漏洞,分HTTPS/SSL 证书、TLS 弱协议、RSA 静态密钥交换、SSH 弱加密四大模块,提供可直接复制配置。
漏洞清单对应修复总览
检测到目标 SSL 证书已过期 → 替换更新 HTTPS 本地 SSL 证书
目标使用过期的 TLS1.0 协议 → 全局禁用 TLS1.0/TLS1.1,仅保留 TLS1.2+TLS1.3
目标主机支持 RSA 静态密钥交换 → SSL 策略仅保留 ECDHE/DHE 前向保密套件,移除纯 RSA 套件
SSH 服务支持弱加密算法 → SSH 收紧密钥交换、公钥、对称加密、MAC 算法,禁用弱算法
一、漏洞 1:SSL 证书已过期(HTTPS 管理页面证书)
步骤 1:生成 / 获取新证书(推荐 CA 签发 2048 位 RSA/ECDSA 证书,有效期≥1 年)
支持 PEM/P12 格式,包含证书 + 私钥。
步骤 2:上传证书文件至设备 Flash
通过 TFTP/FTP 上传证书文件(server.p12/server.pem)到交换机根目录。
步骤 3:导入新本地证书,覆盖过期旧证书
plaintext
system-view
# 删除原有过期证书
ssl local-certificate delete 1
# 导入P12加密证书(带私钥密码)
ssl local-certificate import 1 p12 filename server.p12
Please input the password: 输入证书私钥密码
# 绑定证书给HTTPS服务ssl服务器策略
ssl server-policy https-policy
local-certificate 1
quit
# HTTPS绑定SSL策略
ip https ssl-server-policy https-policy
# 重启HTTPS生效
undo ip https enable
ip https enable
校验证书有效期
plaintext
display ssl local-certificate 1
查看 Validity 字段,确认未过期。
二、漏洞 2:禁用 TLS1.0、TLS1.1,仅保留安全 TLS1.2/1.3
全局关闭不安全协议(系统全局 SSL 生效,覆盖 HTTPS 所有 SSL 服务)
plaintext
system-view
# 禁用TLS1.0、TLS1.1、SSL3.0
ssl version ssl3.0 tls1.0 tls1.1 disable
# 关闭SSL重协商漏洞
ssl renegotiation disable
# 同步在HTTPS ssl策略内二次限制,双重防护
ssl server-policy https-policy
version ssl3.0 tls1.0 tls1.1 disable
quit
验证关闭状态
plaintext
display ssl version
输出 tls1.0/tls1.1 为 Disabled 即修复。
三、漏洞 3:移除静态 RSA 密钥交换,仅保留 ECDHE 前向保密套件
扫描报 “支持 RSA 密钥交换” 是指纯 RSA 无临时密钥套件(rsa_aes_xxx),无前向保密,需从 SSL 策略删除,仅保留 ECDHE/DHE 系列加密套件。
plaintext
system-view
ssl server-policy https-policy
# 清空默认全部套件
undo ciphersuite all
# 仅添加安全ECDHE/DHE前向保密套件(无纯RSA静态交换)
ciphersuite ecdhe_rsa_aes_128_gcm_sha256
ciphersuite ecdhe_rsa_aes_256_gcm_sha384
ciphersuite dhe_rsa_aes_128_gcm_sha256
ciphersuite dhe_rsa_aes_256_gcm_sha384
quit
配置后 HTTPS 协商不再返回纯 RSA 密钥交换套件,消除该漏洞告警。
四、漏洞 4:SSH 服务支持弱加密算法修复(核心 4 步)
1)生成强 ECDSA 主机密钥(替代老旧 RSA/DSA 弱密钥)
plaintext
system-view
# 生成256位ECDSA主机密钥
public-key local create ecdsa secp256r1
# 查看生成结果
display public-key local ecdsa public
2)收紧 SSH 密钥交换算法(移除弱 dh-group1-sha1)
plaintext
# 仅保留安全强KEX算法
ssh server key-exchange dh-group-exchange-sha256 dh-group14-sha256 ecdh-sha2-nistp256 ecdh-sha2-nistp384
3)限制 SSH 公钥认证算法(仅 ECDSA,弱化 ssh-rsa)
plaintext
ssh2 algorithm public-key ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
4)对称加密 + MAC 哈希,禁用 3DES/MD5/SHA1 弱算法
plaintext
# 仅AES-GCM强对称加密
ssh2 algorithm cipher aes128-gcm aes256-gcm
# 仅SHA256/SHA384强哈希校验
ssh2 algorithm hmac hmac-sha2-256 hmac-sha2-384
验证 SSH 支持算法
plaintext
display ssh server status
确认无 diffie-hellman-group1-sha1、3des-cbc、hmac-sha1 等弱算法。
五、全量整合完整配置(现场直接粘贴执行)
plaintext
system-view
# ========== 1、禁用不安全TLS协议 ==========
ssl version ssl3.0 tls1.0 tls1.1 disable
ssl renegotiation disable

# ========== 2、HTTPS SSL策略加固,移除纯RSA密钥交换 ==========
ssl server-policy https-policy
local-certificate 1
version ssl3.0 tls1.0 tls1.1 disable
undo ciphersuite all
ciphersuite ecdhe_rsa_aes_128_gcm_sha256
ciphersuite ecdhe_rsa_aes_256_gcm_sha384
ciphersuite dhe_rsa_aes_128_gcm_sha256
ciphersuite dhe_rsa_aes_256_gcm_sha384
quit
ip https ssl-server-policy https-policy
undo ip https enable
ip https enable

# ========== 3、SSH弱算法全盘加固 ==========
public-key local create ecdsa secp256r1
ssh server key-exchange dh-group-exchange-sha256 dh-group14-sha256 ecdh-sha2-nistp256 ecdh-sha2-nistp384
ssh2 algorithm public-key ecdsa-sha2-nistp256 ecdsa-sha2-nistp384
ssh2 algorithm cipher aes128-gcm aes256-gcm
ssh2 algorithm hmac hmac-sha2-256 hmac-sha2-384

# 保存配置
save
六、修复后复测验证命令
查看 SSL 协议版本:display ssl version
查看 SSL 加密套件:display ssl server-policy https-policy
查看 SSH 算法配置:display ssh server status
查看证书有效期:display ssl local-certificate 1
补充注意事项
若设备为 IRF 堆叠两台 S6850/S6805,两台设备需分别导入证书、同步加固 SSL/SSH 配置;
老旧客户端仅支持 TLS1.0 的兼容场景:可临时放开 TLS1.0,扫描完成后再次关闭;
若扫描仍报 RSA 套件:检查是否有其他 SSL 服务(如 SNMPv3、SSL 客户端策略),同步加固对应 ssl client-policy;
固件建议升级至最新 Release 版本,修复底层弱加密套件默认兼容漏洞。

暂无评论

粉丝:23人 关注:1人

针对您 S6850 和 S6805 交换机扫描出的四个中危漏洞,以下是详细的修复配置方法。

请注意,不同软件版本的命令格式可能存在差异,生产环境操作前建议先查阅对应版本的配置手册,并在测试环境中验证。

🔐 漏洞一:SSL证书过期

  • 问题:交换机使用的SSL证书已过期,会导致HTTPS等加密连接不受信任。

  • 修复方案:重新生成并安装有效证书。

  1. 生成新的RSA密钥对

    text
    [H3C] public-key local create rsa
  2. 生成新的DSA密钥对(可选):

    text
    [H3C] public-key local create dsa
  3. 生成新的自签名证书(会覆盖旧证书):

    text
    [H3C] pki create-self-signed certificate name default

    注意default 是H3C设备Web界面默认使用的证书名称。如果您使用的是自己申请的商用证书,请通过 pki import 命令导入新的证书文件。

  4. (可选)重启HTTPS服务

    text
    [H3C] ip https enable

    重新启用服务可确保证书更新生效。

🔒 漏洞二:支持过期的TLS 1.0协议

  • 问题:TLS 1.0是过时且不安全的协议,存在严重安全漏洞。

  • 修复方案:在SSL服务器策略中,仅启用安全的TLS 1.1及以上版本。

  1. 进入SSL服务器策略视图

    text
    [H3C] ssl server-policy default
  2. 禁用TLS 1.0,启用TLS 1.1和1.2

    text
    [H3C-ssl-server-policy-default] version tls1.1 tls1.2

    注意:部分旧版本可能不支持 version 命令直接指定,需要通过 ciphersuite 命令或其他方式间接控制。建议查阅您设备版本的《安全配置指导》手册。

🔑 漏洞三:支持RSA密钥交换

  • 问题:使用RSA进行密钥交换易受中间人攻击,不安全。

  • 修复方案:在SSL服务器策略中,配置只使用安全的密钥交换算法。

  1. 进入SSL服务器策略视图(同上):

    text
    [H3C] ssl server-policy default
  2. 配置安全的加密套件(不包含RSA密钥交换):

    text
    [H3C-ssl-server-policy-default] ciphersuite rsa_aes_128_cbc_sha

    注意rsa_aes_128_cbc_sha 仅为示例,代表使用RSA证书进行身份验证,但密钥交换使用其他算法。具体安全的套件列表请参考官方文档。一个更严格的做法是彻底禁用RSA交换,但这可能影响兼容性,需谨慎评估。

🛡️ 漏洞四:SSH支持弱加密算法

  • 问题:SSH服务支持的弱加密算法(如DES、RC4)容易被破解。

  • 修复方案:在SSH服务中,仅启用安全的加密、MAC和密钥交换算法。

  1. 进入SSH服务器视图

    text
    [H3C] ssh server
  2. 配置安全的加密算法(禁用aes128-cbc3des-cbc等弱算法):

    text
    [H3C-ssh-server] cipher aes256-ctr aes128-ctr
  3. 配置安全的MAC算法(禁用hmac-md5等弱算法):

    text
    [H3C-ssh-server] mac hmac-sha2-256 hmac-sha2-512
  4. 配置安全的密钥交换算法(禁用diffie-hellman-group1-sha1等弱算法):

    text
    [H3C-ssh-server] key-exchange ecdh-sha2-nistp256 diffie-hellman-group14-sha1
  5. 保存配置

    text
    [H3C] save

⚠️ 重要注意事项

  • 影响评估:修改SSL/TLS和SSH配置可能影响依赖旧协议或旧客户端的设备或系统接入。实施前请评估影响范围。

  • 版本差异:不同软件版本的命令可能存在差异。建议以官方文档为准。

  • 官方文档:最权威的配置指南请参考H3C官网的技术文档。

暂无评论

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明