L’authentification OSPF exige des algorithmes cryptographiques forts chez Cisco

0

[ad_1]

Afin de protger certains de ses quipements Catalyst et ASR contre les risques de baisse de performance, Cisco recommande d’utiliser AES-CBC pour le chiffrement et SHA1 pour l’authentification.

Cisco restreint l’usage d’algorithmes cryptographiques faibles lors de la configuration de l’authentification des paquets OSPF (Open Shortest Path First) sur certaines plateformes Catalyst Edge et certains routeurs Ă  services intĂ©grĂ©s (Integrated Services Routers, ISR) afin de rĂ©duire le risque de problĂšmes de service. « Les nouvelles versions du logiciel IOS XE de Cisco (version 17.11.1 et ultĂ©rieures) ne prennent plus en charge ces algorithmes – DES, 3DES et MD5 – par dĂ©faut », a dĂ©clarĂ© Cisco dans un avis.

Plus prĂ©cisĂ©ment, ces algorithmes ne sont plus des options par dĂ©faut pour le protocole Open Shortest Path First v 3 (OSPFv3), qui utilise l’API de socket sĂ©curisĂ© IPsec pour ajouter l’authentification aux paquets OSPFv3 qui distribuent les informations de routage. « Pour utiliser des algorithmes de chiffrement aussi faibles, une configuration explicite est nĂ©cessaire », a dĂ©clarĂ© Cisco dans son avis. « Sinon, le voisinage OSPF ne s’Ă©tablira pas, ce qui entraĂźnera des interruptions de service. Ces algorithmes doivent ĂȘtre remplacĂ©s par des algorithmes plus puissants, en particulier Advanced Encryption Standard-Cipher Block Chaining (AES-CBC) pour le cryptage et Service Hash Algorithm (SHA1 ou SHA2) pour l’authentification », a prĂ©cisĂ© le fournisseur.

Renforcer le chiffrement 

Cisco indique toutefois qu’il existe une solution de contournement au problĂšme, mais recommande de ne pas la mettre en Ɠuvre. « Avant que les clients ne mettent Ă  jour le logiciel vers IOS XE version 17.11.1 ou ultĂ©rieure, ils doivent mettre Ă  jour la configuration OSPFv3 IPsec pour utiliser des algorithmes cryptographiques forts. Mais, cette commande n’est disponible qu’Ă  partir de la version 17.7.1 d’IOS XE et ne prendra effet qu’aprĂšs un redĂ©marrage », a expliquĂ© l’entreprise. « Cisco ne recommande pas cette option, car ces algorithmes cryptographiques faibles ne sont pas sĂ»rs et n’offrent pas une protection adĂ©quate contre les menaces modernes. Cette commande ne doit ĂȘtre utilisĂ©e qu’en dernier recours », a insistĂ© le fournisseur.

La firme de San José invite les clients Ă  remplir une demande de service Service Request pour poser des questions ou obtenir de l’aide pour rĂ©soudre un problĂšme. Le logiciel IOS XE fonctionne sur un grand nombre d’Ă©quipements Cisco, mais l’avis ne s’applique qu’au 1100 ISR, au logiciel Catalyst 8000V Edge et aux plateformes Catalyst 8300, 9500 et 8500L Edge.

 

[ad_2]

Source link

Leave a Reply

Your email address will not be published. Required fields are marked *