cisco Restringe el uso de algoritmos criptográficos débiles al configurar la autenticación de paquetes Open Shortest Path First (OSPF) en ciertas plataformas Catalyst Edge y enrutadores de servicios integrados (ISR) para reducir el riesgo de problemas de servicio. "Las nuevas versiones del software Cisco IOS XE (versión 17.11.1 y posteriores) ya no admiten estos algoritmos (DES, 3DES y MD5) de forma predeterminada", dijo Cisco en un aviso.

Específicamente, estos algoritmos ya no son opciones predeterminadas para el protocolo Open Shortest Path First v 3 (OSPFv3), que utiliza la API de socket seguro IPsec para agregar autenticación a los paquetes OSPFv3 que distribuyen información de enrutamiento. "Para utilizar algoritmos de cifrado tan débiles, se requiere una configuración explícita", dijo Cisco en su aviso. “De lo contrario, la comunidad OSPF no se establecerá, lo que provocará interrupciones en el servicio. Estos algoritmos deben ser reemplazados por algoritmos más potentes, en particular Advanced Encryption Standard-Cipher Block Chaining (AES-CBC) para el cifrado y Service Hash Algorithm (SHA1 o SHA2) para la autenticación”, dijo el proveedor.

Fortalecer el cifrado

Cisco, sin embargo, indica que existe una solución para el problema, pero recomienda no implementarla. “Antes de que los clientes actualicen el software a IOS XE versión 17.11.1 o posterior, deben actualizar la configuración IPsec OSPFv3 para utilizar algoritmos criptográficos potentes. Pero este comando solo está disponible a partir de la versión 17.7.1 de IOS XE y solo tendrá efecto después de reiniciar”, explicó la compañía. “Cisco no recomienda esta opción porque estos algoritmos criptográficos débiles no son seguros y no brindan protección adecuada contra las amenazas modernas. Este comando sólo debe utilizarse como último recurso”, insistió el proveedor.

La firma de San José invita a los clientes a completar una Solicitud de servicio para hacer preguntas u obtener ayuda para resolver un problema. IOS