Блокировать Sweet32 атаки на Fortigate?

У меня есть продукт Fortigate под управлением FortiOS 5.4.x, и я не могу устранить уязвимость Sweet32.

Я уже включил алгоритмы высокой безопасности и отключил SSL3 / TLS1.0 для Beast & Crime, как показано ниже.

config system global 
  set strong-crypto enable 
  end

config vpn ssl setting 
   set sslv3 disable 
   set tls1-0 disable

Как я могу решить это?

Источник

2 ответа

Решение

Согласно справочнику по интерфейсу командной строки FortiOS 5.4.1 можно заблокировать использование определенных наборов шифров, таких как 3DES. Существует мало документации по использованию этой опции, но я убедился, что она действительно работает по мере необходимости. К сожалению, в 5.2 или более ранней версии нет подходящей команды.

config vpn ssl setting 
   banned-cipher 3DES
Источник

TLDR: у Fortinet есть новый патч для их прошивки, чтобы решить эту проблему.

Сборка 1100

Это был единственный способ решить мою проблему с Sweet32

Отсканировано и подтверждено.

У меня та же проблема. Используя его заметку (Тим Бригам), я смог найти код CLI.

настройки config vpn.ssl

редактировать

set reqclientcert {enable | отключить}

set sslv3 {enable | отключить}

set tlsv1-0 {enable | отключить}

set tlsv1-1 {enable | отключить}

set tlsv1-2 {enable | отключить}

установить запрещенный шифр {RSA | DH | DHE | ECDH | ECDHE | DSS | ECDSA | AES | AESGCM |

Калифорния

MELLIA | 3DES | SHA1 | SHA256 | SHA384}

Взято из

http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf

Страница 756

Команды:

#config vpn ssl settings

* Обратите внимание, что если вы используете настройки config vpn.ssl, это будет ошибкой.

#set banned-cipher 3DES

* без набора, это неизвестно на моем CLI

Я запускаю свой сканер PCI, чтобы проверить завершение. Будет обновление после подтверждения.

** Не удалось устранить ошибку PCI **

** Обновление ** 01.11.2016 (игнорировать, так как это не решило проблему либо *)

Мне пришлось позвонить в службу поддержки, и это то, что я нашел. 1 (866) 868-3678 (ожидается длительное время удержания, быстрое разрешение после подключения)

Сертификат SSL для меня был по умолчанию Fortinet_Factory, который устарел. В версии 5.4.x есть еще одна настройка под названием Fortinet_SSL, которая обновлена ​​и исправлена. На 5.2.x им нужно будет установить обновленную систему. Не знаю, как это сделать, но это то, что сказал техник.

config vpn ssl settings

sh ful (показывает ваши текущие настройки)

установить servercert (показывает, какие сертификаты доступны)

установить servercert Fortinet_FacotrySSL

конец

endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory

настройки пользователя config установить тип http http https set auth-cert "Fortinet_Factory"<--- установить конец разрешения auth-secure-http

настройка пользователя

(настройка) #

(настройка) # set auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL

(настройка) # конец

Я бы порекомендовал позвонить и сделать так, чтобы они установили это, поскольку я не могу найти хорошую прогулку. Я просто зарегистрировал SSH и скопировал вставленные команды.

Это то, что показывает мой сбой PCI перед обновлением>

TLSv1_1: ECDHE-RSA-DES-CBC3-SHA

TLSv1_1: EDH-RSA-DES-CBC3-SHA

TLSv1_1: DES-CBC3-SHA

TLSv1_2: ECDHE-RSA-DES-CBC3-SHA

TLSv1_2: EDH-RSA-DES-CBC3-SHA

TLSv1_2: DES-CBC3-SHA

Я включил функцию сильного шифрования и установил запрещенный шифр 3DES, который не разрешал их.

Изменение SSL не решило проблему ***

Звонил снова 2.11.2016. Было сказано, что система должна быть исправлена.

Обновлено до 5.4.2 сборка 1100.

Источник
Другие вопросы по тегам