Comware

Hola a todos,

Estoy trabajando con un switch HP A5120-24G EI (Comware 5.20.99, Release 2222P11) y al realizar un escaneo de seguridad (Nessus/OpenVAS), aparecen las siguientes vulnerabilidades relacionadas con SSH:

• SSH Weak MAC Algorithms Enabled
• SSH Weak Key Exchange Algorithms Enabled

Entiendo que en Comware 5.20 no hay comandos disponibles para configurar manualmente los algoritmos de intercambio de claves (KEX) o los MACs utilizados por el servicio SSH, a diferencia de lo que sí puede hacerse en versiones más recientes como Comware 7.

Ya he verificado que el equipo tiene la última versión disponible en el portal oficial, y por lo tanto mi pregunta es:

¿Existe alguna forma adicional de mitigar estas vulnerabilidades sin tener que reemplazar el equipo o deshabilitar SSH completamente?

Por el momento estoy considerando aplicar una ACL para restringir el acceso SSH solo desde IPs administrativas de confianza, pero me gustaría saber si hay:

• Alguna versión de firmware que incluya algoritmos más fuertes aunque no sean configurables.
• Algún workaround no documentado para fortalecer la seguridad SSH.
• O cualquier recomendación adicional que se pueda aplicar en entornos que requieren cumplimiento normativo.

Agradezco mucho cualquier orientación o experiencia que puedan compartir.

Saludos

hola estimado

lo que puedes es mitigar los acesos de ssh por line vty 0 x donde x es el numero de usuarios concurrentes en conexiones ssh

ejemplo:
#
line vty 0 15 
 authentication-mode scheme ---- »» aqui define el proceso y los métodos utilizados para verificar la identidad de un usuario y concederle acceso (password, scheme, none), donde scheme es por flujo AAA
 user-role network-operator ------ »» aqui seleccionas el role del usuario que va a acceder al conmutador (operador, monitor, administrator)
 protocol inbound ssh -----»» aqui seleccionas el protocolo (telnet, ssh, http, https)
#

Ahora para cerrar esta brecha usa los acl y los AAA, asi cierras mas los equipos para acceso via ssh