Der Befehl "show radius-servers" wurde aktualisiert, um anzuzeigen, ob die Einstellung aktiviert oder deaktiviert ist.

Version 3.5.0.24

• Diese Version ist eine Wartungsversion der CBS-Version 3.4.0.x.
• Sie enthält neue Funktionen wie unten beschrieben.

Neuheiten in Version 3.5.0.24
Dieser Abschnitt beschreibt die neuen Funktionen und Änderungen in diesem Release im Vergleich zu früheren Releases.
Aktuelles Release - Version 3.5.0.24
Diese Release Notes beziehen sich auf die CBS-Produktlinie Version 3.5.0.24. Die CBS-Produktlinie unterstützt die
folgende Produktlinien: CBS250, CBS250-4X, CBS350, CBS350-4X (Stacking) und 10-Gigabit CBS350
Module.

Geräteanfälligkeit - Vor Version 3.5.0.x
RFC2869 legt fest, dass das Message-Authenticator-Attribut für RADIUS-Austausche, die ein EAP-Message-Attribut enthalten, obligatorisch ist.
ein EAP-Message-Attribut (Typ 79) enthalten. Auf dem CBS Die folgenden Anwendungen enthalten kein EAP-Message-Attribut
Attribut und sind daher für diesen Angriff anfällig:

• Management-Login-Zugang (AAA-Authentifizierung) - der immer auf RADIUS (und nicht auf EAP) basiert.
• 8021.x MAC-basierte Authentifizierung (MAB) unter Verwendung der RADIUS-Authentifizierungsmethode (Befehl dot1x
  mac-auth RADIUS).
  802.1x-Authentifizierung und MAC-basierte Authentifizierung (MAB) mit der EAP-Methode (Befehl dot1xmac-auth
  EAP, was die Standardkonfiguration ist), sind für diesen Angriff nicht anfällig. Die RADIUS-Anfragen, die in
  Anwendungen das EAP-Message-Attribut enthalten, und das Gerät überprüft auch, ob die RADIUS-Antworten
  dieses Attribut enthalten und dass es gültig ist.

Änderungen des Geräteverhaltens
Um die Ausnutzung von Schwachstellen zu verhindern, wurden die folgenden Änderungen in der CBS 3.5.0.x
Version implementiert. Sie sollen sicherstellen, dass das Attribut Message-Authenticator in allen RADIUS-Paketen enthalten ist:

• Das Message-Authenticator-Attribut ist in allen RADIUS-Anfragepaketen enthalten - einschließlich AAA
  Authentifizierung und 802.1x MAC-basierte Authentifizierung (MAB) unter Verwendung der RADIUS-Authentifizierungsmethode
• Das Attribut "Message-Authenticator" ist als erstes Attribut im RADIUS-Anfragepaket enthalten. Dieses
  wird auch für die 802.1x-Authentifizierung und die MAC-basierte Authentifizierung (MAB) mit der EAP
  Methode implementiert.
• Zu dieser Freigabe wurde eine neue Einstellung hinzugefügt: Der Benutzer kann festlegen, dass der Message-Authenticator obligatorisch ist
  für alle RADIUS-Antworten obligatorisch ist und nicht nur für RADIUS-Antworten, die das EAP-Message-Attribut enthalten.
  RADIUS-Antworten, die dieses Attribut nicht enthalten (oder bei denen der Authentifikator ungültig ist), werden verworfen.
  Standardmäßig ist der Message-Authenticator nur für RADIUS-Antworten obligatorisch, die das
  EAP-Message-Attribut

NeueCLIC-Befehle
Der folgende CLI-Befehl wurde dem Gerät hinzugefügt, um das obligatorische Attribut "Message-Authenticator" in allen RADIUS-Antworten zu aktivieren/deaktivieren.
Attribut in allen RADIUS-Antworten: "radius-server force-message-authenticator host {ip-address |
hostname}".
Die Standardeinstellung ist deaktiviert.

• Der Befehl "show radius-servers" wurde aktualisiert, um anzuzeigen, ob die Einstellung aktiviert oder deaktiviert ist.
  Einzelheiten zur Verwendung der Befehle finden Sie im CBS 3.5 CLI-Handbuch.
  Diese Einstellung wird von der GUI-Verwaltungsoberfläche des Geräts nicht unterstützt.

Änderungen in dieser Version in Bezug auf CBD
Die folgenden Änderungen wurden in dieser Version hinzugefügt:

• CBDnetwork Probe Version, die auf Version 2.9.0.20240823 aktualisiert wurde.
• Hinzufügen der CBDprobe-Modus-Informationen zum CLI-Feld Betriebsstatus (Befehl "show cbd") und zum Feld Probe
  Status GUI-Feld. Der Sondenmodus ist nur relevant, wenn die Sonde aktiv ist. Die folgenden Sondenmodi
  werden angezeigt.
• Probe Managed- Die Probe führt eine Netzwerkerkennung durch und kommuniziert direkt mit jedem
  verwalteten Geräten im Namen des Dashboards.
• Direkt verwaltet- Direkt verwaltete Geräte erkennen andere Geräte im weiteren Netzwerk und
  verbinden diese Geräte automatisch mit dem Dashboard, sobald sie verwaltbar sind.

Änderungen an den Einstellungen für die Passwortkomplexität
Die folgenden Änderungen wurden an den bestehenden Einstellungen für die Kennwortkomplexität vorgenommen:
Wörterbuchwörter und allgemeine Kennwörter
In den vorherigen Versionen wurde beim Vergleich der neuen Kennwörter mit der Liste der Wörterbuchwörter und
Passwörtern wurde das konfigurierte Passwort auch in den folgenden Fällen abgelehnt:

1. Das Wort aus der Liste kommt in einem beliebigen Teil des Kennworts vor (Anfang, Mitte oder Ende).
2. Das Wort aus der Liste kommt in umgekehrter Reihenfolge im Kennwort vor.
3. Das Wort in der Liste erscheint im Kennwort in einer beliebigen Kombination von Groß- und Kleinschreibung.
4. Beim Vergleich sind die folgenden Buchstaben austauschbar: "$" für "s", "@" für "a", "0" für "o", "1" für
   "l", "!" für "i", "3" für "e", ist nicht zulässig. Zum Beispiel ist Pa$$w0rd nicht erlaubt.
   Ab der CBS-Version 3.5 wurden die Vergleichsregeln wie folgt eingeschränkt:
5. Thenewpassword stimmt nicht überein und beginnt nicht mit einem Wort, das in der Liste enthalten ist (die Bedingung
   "enthalten"-Erfordernis).
6. Das Wort in der Liste kommt im Kennwort in einer beliebigen Kombination von Groß- und Kleinbuchstaben vor.
   Alle anderen Anforderungen wurden gestrichen

Beschränkung für sequentielle Zeichen
In den Vorgängerversionen wurde bei der Ablehnung eines Kennworts, das mehr als 2 aufeinanderfolgende Zeichen enthält, das
konfigurierte Kennwort auch in den folgenden Fällen abgelehnt:

1. Groß- und Kleinschreibung wird nicht berücksichtigt.
2. Umgekehrte Reihenfolge.
3. Sequenz, die durch Ersetzen der folgenden Buchstaben durch Symbole erstellt wird: "$" für "s", "@" für "a", "0" für
   "o", "1" für "l", "!" für "i", "3" für "e".
   In der CBSversion 3.5 bleibt nur die Anforderung der Groß- und Kleinschreibung bestehen. Die anderen Anforderungen wurden gestrichen.