Wie kann ich die Chiffren für Dropbear unter DD-WRT konfigurieren?

833
a paid nerd

Ich habe den neuesten DD-WRT-Build für meinen Router installiert und den SSH-Daemon aktiviert. Der Daemon hört der Welt an einem hohen Port zu und akzeptiert nur die Schlüsselauthentifizierung, was ein guter Anfang ist. Aber ssh-Audit berichtet über eine Reihe von Fehlern und Warnungen in DD-WRT ist Dropbear SSH - Konfiguration:

$ python ssh-audit.py 10.0.1.1 # general (gen) banner: SSH-2.0-dropbear_2018.76 (gen) software: Dropbear SSH 2018.76 (gen) compatibility: OpenSSH 7.3+ (some functionality from 6.6), Dropbear SSH 2016.73+ (gen) compression: disabled  # key exchange algorithms (kex) diffie-hellman-group14-sha256 -- [info] available since OpenSSH 7.3, Dropbear SSH 2016.73 (kex) diffie-hellman-group14-sha1 -- [warn] using weak hashing algorithm `- [info] available since OpenSSH 3.9, Dropbear SSH 0.53 (kex) diffie-hellman-group1-sha1 -- [fail] removed (in server) since OpenSSH 6.7, unsafe algorithm `- [fail] disabled (in client) since OpenSSH 7.0, logjam attack `- [warn] using small 1024-bit modulus `- [warn] using weak hashing algorithm `- [info] available since OpenSSH 2.3.0, Dropbear SSH 0.28 (kex) kexguess2@matt.ucc.asn.au -- [info] available since Dropbear SSH 2013.57  ...  # algorithm recommendations (for Dropbear SSH 2018.76) (rec) -diffie-hellman-group1-sha1 -- kex algorithm to remove (rec) -diffie-hellman-group14-sha1 -- kex algorithm to remove (rec) +curve25519-sha256@libssh.org -- kex algorithm to append (rec) +diffie-hellman-group16-sha512 -- kex algorithm to append (rec) -aes128-cbc -- enc algorithm to remove (rec) -aes256-cbc -- enc algorithm to remove (rec) +3des-ctr -- enc algorithm to append (rec) +twofish128-ctr -- enc algorithm to append (rec) +twofish256-ctr -- enc algorithm to append (rec) -hmac-md5 -- mac algorithm to remove

Gibt es eine Möglichkeit, die Schlüsselaustausch-, Verschlüsselungs- und Meldungscode-Algorithmen für den Dropbear-SSH-Daemon von DD-WRT zu konfigurieren (aktivieren / deaktivieren)? Ich habe die DD-WRT-Foren und das Wiki durchsucht, aber nichts schlüssiges gefunden.

1
Ich glaube, Sie müssen den Dropbear-Quellcode hacken. Bist du bereit für eine Herausforderung? :) Diese Optionen können gemäß den Anweisungen nicht über Dropbear-Optionen konfiguriert werden. Sie müssen Dropbear selbst modifizieren und kompilieren. Dies liegt wahrscheinlich daran, dass Dropbear für eingebettete Systeme entwickelt wurde. Aulis Ronkainen vor 6 Jahren 0
@AulisRonkainen Ah, das macht Sinn, danke. Wenn Sie Ihren Kommentar zu einer Antwort machen, kann ich ihn als akzeptiert markieren. a paid nerd vor 6 Jahren 0
Absolut kein Problem. Aulis Ronkainen vor 6 Jahren 0

1 Antwort auf die Frage

1
Aulis Ronkainen

Um die Verschlüsselungsalgorithmen usw. zu ändern, müssen Sie den Quellcode von Dropbear ändern und dann selbst kompilieren. Von Ihnen erwähnte Optionen können mit dem Dropbear-Konfigurationsdienstprogramm nicht konfiguriert werden (gemäß Dropbear-Handbuch). Dies liegt wahrscheinlich daran, dass Dropbear für eingebettete Systeme (wie DD-WRT) entwickelt wurde.

Sie können auch warten, bis das Dropbear-Entwicklungsteam Änderungen an diesen unterstützten Algorithmen vornimmt. Ich weiß jedoch nicht, ob diese Änderungen in die Roadmap aufgenommen werden.

Verwandte Probleme