ISAKMP допускает слабые настройки шифрования IPsec (соответствие PCI)

Question

ISAKMP допускает слабые настройки шифрования IPsec (соответствие PCI)

Я работаю над соответствием PCI клиента. Один из неисправных пунктов:

3.1.5. ISAKMP позволяет использовать слабые параметры шифрования IPsec (ipsecweakencryptionsettings)

Данное решение: "Измените настройки ISAKMP, чтобы разрешить согласование только алгоритмов безопасного шифрования".

Может кто-нибудь дать что-нибудь более подробное о том, как я могу решить эту проблему?

ОС SBS2011, с Exchange 2010, IIS 7.5

-2

ipsec pci-dss isakmp

Источник

Aegyptus 30 июл '12 в 22:59

3 ответа

Решение

Попробуйте отключить isakmp агрессивный режим. Агрессивный режим быстрее основного режима, но менее безопасен, поскольку он пропускает только 3 пакета аутентификации. Обычно рекомендуется использовать основной режим вместо агрессивного режима. Если агрессивный режим должен использоваться для проблем производительности, например, используйте проверку подлинности с открытым ключом шифрования.

1

Источник

David P 12 авг '14 в 16:00

Отключить DES и MD5

-1

Источник

Tim 12 май '14 в 23:39

Другие вопросы по тегам ipsec pci-dss isakmp

HopelessN00b 30 июл '12 в 23:42 2012-07-30 23:42 · Accepted Answer · 2012-07-30 23:42

Вы исправите это, перейдя на устройство или сервер, обслуживающий ваш VPN-туннель, и "[измените] настройки ISAKMP, чтобы разрешить согласование только алгоритмов безопасного шифрования". Вероятно, он позволяет использовать более слабые параметры шифрования для поддержки прежних версий, поэтому отключите его. Честно говоря, это начинает звучать так, словно ты выходишь из глубины с этим клиентом.

Не то, чтобы я хотел, чтобы у вас звучало слишком много хренов или попугайов, чтобы ответить на вопрос, но это действительно так же просто, как изменить настройки вашего VPN-туннеля, чтобы усилить криптографию (более современные алгоритмы и / или более длинные длины ключей). Это может быть даже так же просто, как отключение поддержки DES, которая является распространенным стандартом много лет назад, что сейчас невероятно небезопасно.

Не похоже, что это будет найдено на вашем сервере SBS/Exchange (хотя я видел странные вещи), и я бы посоветовал сначала посмотреть на механизм маршрутизации, в частности, на любой брандмауэр или пограничное оборудование, которое может быть используется в качестве точки подключения для пользователей VPN, где туннель VPN будет согласован.