Aruba AP Controller DH(Diffie-Hellman) 키교환 2048bit로 변경하기

매달 검사하는 취약점 점검에서 Aruba Controller에 취약점이 발견되었는데 개수가 많다. 많은 개수에 취약한 이유는 업무상 필요한 포트의 DH 키 교환을 1024 -> 2048로 변경해야 한다고 되어 있어 문제가 되었다. 결과적으로 AP Controller에서 인증과 관련된 취약점이 있다는 의미로 받아들였다. 

Diffie-Hellman 키길이 취약점

 

 

취약점이 생겼으니 해결을 해야 된다.

강력한 DH로 기존 DH를 수정해야 하는 상황이다.

이것은 ikesmp(Internet Security Association and Key Management Protocol, 인터넷 보안 연결 및 키 관리 프로토콜)을 변경해야 하는데 아루바 AP Controller에 SSH로 접속하여 콘솔로 해결해 보겠다. 현재 ikesmp 설정을 확인해보자.

 

show crypto isakmp policy를 입력하여 현재 설정된 DH Group을 확인한다. 아래 그림은 이미 설정 되어 있는 이미지라 2048 bit로 나타나 있다. 하지만 원래 Group이 2였으며 1024 bit 였다. 아루바 컨트롤러 에서 무언가 변경할 때 반드시 아루바 컨트롤러 OS 버전을 확인한다. 컨트롤러의 기종보다 OS 버전에 맞는 매뉴얼에 제시된 명령어를 사용해야 한다.

Aruba isakmp policy

 

 

 

 

 

아루바 컨트롤러의 그룹별 DH의 비트수는 아래와 같았다. 나는 2048 이상 설정을 하기 위해 14번으로 변경할 예정이다.

Aruba 그룹별 Diffie-Hellman. 출처 : Aruba

정책을 수정하기 위해 configure t 입력

정책 20번의 내용을 수정하기 위해 crypto isakmp policy 20 입력

group을 14번(2048-bit)로 설정하기 위해 group 14 입력

변경 사항을 저장하기 위해 write me 입력

Aruba group 수정

 

 

 

수정 후 다시 조회해 보니 적용이 잘 되었다.

다시 취약점 진단기를 돌려 테스트를 해야 한다.