Fortigate

阻止對 Fortigate 的 Sweet32 攻擊?

  • November 2, 2016

我有一個執行 FortiOS 5.4.x 的 Fortigate 產品,但我無法緩解Sweet32 漏洞

我已經為 Beast & Crime 啟用了高安全性算法並禁用了 SSL3 / TLS1.0,如下所示。

config system global 
 set strong-crypto enable 
 end

config vpn ssl setting 
  set sslv3 disable 
  set tls1-0 disable 

我該如何解決這個問題?

根據FortiOS 5.4.1 CLI Reference,可以阻止使用特定的密碼套件,例如 3DES。關於使用此選項的文件很少,但我已經驗證它確實可以根據需要執行。不幸的是,在 5.2 或更早版本中似乎沒有匹配的命令。

config vpn ssl setting 
  banned-cipher 3DES

TLDR:Fortinet 為其韌體提供了一個新更新檔來解決此問題。

建造 1100

這是解決我的 Sweet32 問題的唯一方法

掃描並確認。


我有同樣的問題。使用他 (Tim Brigham) 的筆記,我能夠找到 CLI 程式碼。

配置 vpn.ssl 設置

編輯

設置 reqclientcert {啟用 | 禁用}

設置 sslv3 {啟用 | 禁用}

設置 tlsv1-0 {啟用 | 禁用}

設置 tlsv1-1 {啟用 | 禁用}

設置 tlsv1-2 {啟用 | 禁用}

設置禁止密碼 {RSA | DH | DHE | ECDH | ECDHE | 數據安全系統 | ECDSA | AES | AESGCM |

梅利亞 | 3DES | SHA1 | SHA256 | SHA3​​84}

取自

http://docs.fortinet.com/uploaded/files/2798/fortigate-cli-ref-54.pdf

第 756 頁

命令:

#config vpn ssl 設置

*請注意,如果您使用 config vpn.ssl 設置,則會出現錯誤。

#set 禁止密碼 3DES

*沒有設置,它在我的 CLI 上是未知的

我正在執行我的 PCI 掃描器來驗證是否完成。確認後會更新。

** 沒有解決 PCI 故障 **


** 更新 ** 2016 年 11 月 1 日(忽略,因為這並不能解決問題*)

我不得不撥打支持熱線,這就是我發現的。1 (866) 868-3678(預計保持時間較長,連接後快速解決)

對我來說,SSL 證書是預設的 Fortinet_Factory,它已經過時了。在 5.4.x 版本上,還有另一個名為 Fortinet_SSL 的設置已更新且正確。在 5.2.x 上,他們需要為您設置更新的系統。不知道如何做到這一點,但這就是技術人員所說的。

配置 vpn ssl 設置

sh ful(顯示您目前的設置)

set servercert(顯示哪些證書可用)

設置 servercert Fortinet_FacotrySSL

結尾

endset servercert Fortinet_SSLh fulconfig vpn ssl settingsshow | grep -f factoryFortinet_Factory

配置使用者設置 set auth-type http https set auth-cert “Fortinet_Factory” <— set auth-secure-http enable end

配置使用者設置

(環境) #

(設置)# 設置 auth-typecert Fortinet_CA_SSLProxyUntrustedFactorySSL

(設置)#結束

我建議打電話讓他們設置這個,因為我找不到一個很好的遍歷。我基本上只是記錄了 SSH 並複制粘貼了他們輸入的命令。

這就是更新前我的 PCI Failing >

TLSv1_1:ECDHE-RSA-DES-CBC3-SHA

TLSv1_1:EDH-RSA-DES-CBC3-SHA

TLSv1_1:DES-CBC3-SHA

TLSv1_2:ECDHE-RSA-DES-CBC3-SHA

TLSv1_2:EDH-RSA-DES-CBC3-SHA

TLSv1_2:DES-CBC3-SHA

我做了強加密啟用和設置禁止密碼 3DES,但沒有解決這些問題。

SSL 更改沒有解決問題 ***


2016 年 11 月 2 日再次致電。被告知系統需要修補。

更新到 5.4.2 build 1100。

引用自:https://serverfault.com/questions/810041