Компанія Cisco рекомендує використовувати AES-CBC для шифрування та SHA1 для автентифікації, для захисту від зниження продуктивності своїх пристроїв Catalyst і ASRПро це повідомляє NetworkWorld.
Щоб зменшити ризик виникнення проблем із обслуговуванням, Cisco ускладнює для організацій використання слабких криптографічних алгоритмів при налаштуванні аутентифікації для пакетів OSPF на деяких платформах Catalyst Edge і маршрутизаторах з інтегрованими послугами (ISR).
Нові версії програмного забезпечення Cisco IOS XE (випуск 17.11.1 і новіші) за замовчуванням більше не підтримують алгоритми DES, 3DES і MD5, повідомили в компанії.
Зокрема, алгоритми більше не є параметрами за замовчуванням для протоколу OSPFv3 (open shortest path first v3), який використовує IPsec secure socket API для додавання аутентифікації до пакетів OSPFv3, що поширюють інформацію про маршрутизацію.
Ці алгоритми слід замінити на більш сильні алгоритми, зокрема Advanced Encryption Standard-Cipher Block Chaining (AES-CBC) для шифрування та Service Hash Algorithm (SHA1 або SHA2) для автентифікації, заявили в Cisco.
Компанія наводить обхідний метод для вирішення проблеми, але не рекомендує його використовувати:
«Перед тим, як оновити програмне забезпечення до Cisco IOS XE Release 17.11.1 або новішої версії, оновіть конфігурацію OSPFv3 IPsec для використання надійних криптографічних алгоритмів. Однак ця команда доступна лише в Cisco IOS XE Release 17.7.1 і пізнішій версії та почне діяти лише після перезавантаження. Cisco не рекомендує наведений варіант, оскільки ці слабкі криптографічні алгоритми ненадійні й не забезпечують належного захисту від сучасних загроз. Цю команду слід використовувати лише у крайньому разі».
Якщо у вас виникли проблеми чи запитання, фахівці рекомендують подати запит на обслуговування.
Програмне забезпечення IOS XE працює на різноманітних пристроях компанії Cisco, але це повідомлення стосується лише 1100 ISR, програмного забезпечення Catalyst 8000V Edge і платформ Catalyst 8300, 9500 і 8500L Edge.